JP2022083882A - Electronic control apparatus, software authentication method, software authentication program, and electronic control system - Google Patents

Electronic control apparatus, software authentication method, software authentication program, and electronic control system Download PDF

Info

Publication number
JP2022083882A
JP2022083882A JP2020195475A JP2020195475A JP2022083882A JP 2022083882 A JP2022083882 A JP 2022083882A JP 2020195475 A JP2020195475 A JP 2020195475A JP 2020195475 A JP2020195475 A JP 2020195475A JP 2022083882 A JP2022083882 A JP 2022083882A
Authority
JP
Japan
Prior art keywords
software
information
electronic control
specific information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020195475A
Other languages
Japanese (ja)
Other versions
JP7428116B2 (en
Inventor
史英 後藤
Fumihide Goto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2020195475A priority Critical patent/JP7428116B2/en
Publication of JP2022083882A publication Critical patent/JP2022083882A/en
Application granted granted Critical
Publication of JP7428116B2 publication Critical patent/JP7428116B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Traffic Control Systems (AREA)
  • Stored Programmes (AREA)

Abstract

To provide an electronic control apparatus for ensuring necessary security while preventing delay in processing related to authentication.SOLUTION: In an electronic control system 1, an electronic control apparatus 10 comprises an input unit 101, a software identifying information management unit 102, a storage unit 105, an authentication unit 103, and an output unit 106. The input unit inputs start-up information indicating that software for accessing a sensor apparatus has started. The software identifying information management unit acquires software identifying information for identifying software from the start-up information. The storage unit stores the software identifying information. The authentication unit authenticates the software to access to the sensor apparatus based on the start-up information. The output unit outputs an access request, which is output from the software, to the sensor apparatus.SELECTED DRAWING: Figure 2

Description

本発明は、電子制御装置に関するものであり、主として車両用の電子制御装置、電子制御装置で実現する方法、電子制御装置で実行可能なプログラム、及び複数の電子制御装置からなる電子制御システムに関する。 The present invention relates to an electronic control device, and mainly relates to an electronic control device for a vehicle, a method realized by the electronic control device, a program that can be executed by the electronic control device, and an electronic control system including a plurality of electronic control devices.

自動車においては、各種センサ装置及び電子制御装置が車載ネットワークで接続された電子制御システムが構築されている。 In automobiles, an electronic control system is constructed in which various sensor devices and electronic control devices are connected by an in-vehicle network.

各種センサ装置で取得したセンサデータは、電子制御装置にインストールされたソフトウェアによって利用される。センサデータは主として車両の走行や車両の制御に用いるので、安全性確保のためセンサデータ毎に認証を行うことが考えられる。 The sensor data acquired by various sensor devices is used by software installed in the electronic control device. Since the sensor data is mainly used for vehicle running and vehicle control, it is conceivable to authenticate each sensor data to ensure safety.

例えば、特許文献1には、電子制御装置からメッセージを送信する際に、メッセージ毎にMACを生成して送信することが記載されている。 For example, Patent Document 1 describes that when a message is transmitted from an electronic control device, a MAC is generated and transmitted for each message.

特開2013-98719号公報Japanese Unexamined Patent Publication No. 2013-98719

ここで、本発明者は、以下の課題を見出した。
センサ装置で生成されるセンサデータは、車両の走行や車両の制御に用いるデータであるが、センサ装置自体に外部とのインターフェースがあるわけでないので、乗っ取りに対する対策を講じる必要は必ずしも高くはない。しかし、センサデータにはプライバシ―情報という側面もあるので、センサデータが外部に流出することを防止する必要がある。 Here, the present inventor has found the following problems.
The sensor data generated by the sensor device is data used for traveling the vehicle and controlling the vehicle, but since the sensor device itself does not have an interface with the outside, it is not always necessary to take measures against hijacking. However, since the sensor data also has an aspect of privacy information, it is necessary to prevent the sensor data from leaking to the outside.

そこで、本発明は、処理の遅延を防止するとともに、必要なセキュリティを担保することを目的とする。 Therefore, an object of the present invention is to prevent a delay in processing and to ensure necessary security.

本開示の一態様による電子制御装置(10)は、
センサ装置(13~16)にアクセスするソフトウェアが起動したことを示す起動情報が入力される入力部(101)と、
前記起動情報から、前記ソフトウェアを特定するソフトウェア特定情報を取得するソフトウェア特定情報管理部(102)と、
前記ソフトウェア特定情報を保存する保存部(105)と、
前記起動情報に基づき、前記ソフトウェアの前記センサ装置へのアクセスの認証を行う認証部(103)と、
前記ソフトウェアから出力されたアクセス要求を前記センサ装置に出力する出力部(106)と、を有する。 The electronic control device (10) according to one aspect of the present disclosure is
An input unit (101) into which start information indicating that software for accessing the sensor device (13 to 16) has started is input, and an input unit (101).
A software specific information management unit (102) that acquires software specific information that identifies the software from the startup information, and
A storage unit (105) that stores the software specific information, and
An authentication unit (103) that authenticates access to the sensor device of the software based on the activation information, and
It has an output unit (106) that outputs an access request output from the software to the sensor device.

本開示の一態様による電子制御装置システム(1)は、
センサ装置(13~16)及び電子制御装置(10)から構成される電子制御システムであって、
前記電子制御装置は、
センサ装置にアクセスするソフトウェアが起動したことを示す起動情報が入力される入力部(101)と、
前記起動情報から、前記ソフトウェアを特定するソフトウェア特定情報を取得するソフトウェア特定情報管理部(102)と、
前記ソフトウェア特定情報を保存する保存部(105)と、
前記起動情報に基づき、前記ソフトウェアの前記センサ装置へのアクセスの認証を行う認証部(103)と、
前記ソフトウェアから出力されたアクセス要求を前記センサ装置に出力する出力部(106)と、を有し、
前記センサ装置は、
センサデータを取得する検知部(111)と、
前記アクセス要求を受信する受信部(112)と
前記アクセス要求に応じて前記センサデータを送信する送信部(113)と、を有する。 The electronic control device system (1) according to one aspect of the present disclosure is
An electronic control system composed of a sensor device (13 to 16) and an electronic control device (10).
The electronic control device is
An input unit (101) into which start information indicating that the software that accesses the sensor device has started is input, and
A software specific information management unit (102) that acquires software specific information that identifies the software from the startup information, and
A storage unit (105) that stores the software specific information, and
An authentication unit (103) that authenticates access to the sensor device of the software based on the activation information, and
It has an output unit (106) that outputs an access request output from the software to the sensor device.
The sensor device is
The detector (111) that acquires sensor data and
It has a receiving unit (112) for receiving the access request and a transmitting unit (113) for transmitting the sensor data in response to the access request.

なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。 The scope of claims and the numbers in parentheses attached to the constituent requirements of the invention described in this section indicate the correspondence between the present invention and the embodiments described later, and are intended to limit the present invention. do not have.

本開示の電子制御装置、ソフトウェア認証方法、ソフトウェア認証プログラム、及び電子制御システムによれば、処理の遅延を防止するとともに、必要なセキュリティを担保することができる。 According to the electronic control device, software authentication method, software authentication program, and electronic control system of the present disclosure, it is possible to prevent processing delays and ensure necessary security.

本実施形態の電子制御装置システムの構成を説明する図The figure explaining the structure of the electronic control apparatus system of this embodiment. 本実施形態の電子制御装置の構成を説明する図The figure explaining the structure of the electronic control apparatus of this embodiment. 本実施形態のセンサ装置の構成を説明する図The figure explaining the structure of the sensor device of this embodiment. 本実施形態の電子制御システム又は電子制御装置の動作を説明する図The figure explaining the operation of the electronic control system or the electronic control apparatus of this embodiment. 本実施形態の電子制御システム又は電子制御装置の動作を説明する図The figure explaining the operation of the electronic control system or the electronic control apparatus of this embodiment.

以下、本発明の実施形態について、図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.

なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。 The present invention means the invention described in the section of the scope of claims or the means for solving the problem, and is not limited to the following embodiments. Further, at least the words and phrases in the brackets mean the words and phrases described in the section of the scope of claims or the means for solving the problem, and are not limited to the following embodiments.

特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。 The configurations and methods described in the dependent clauses of the claims are arbitrary configurations and methods in the invention described in the independent clause of the claims. The configurations and methods of embodiments corresponding to the configurations and methods described in the dependent terms, and the configurations and methods described only in the embodiments that are not described in the claims, are arbitrary configurations and methods in the present invention. The configuration and method described in the embodiment when the description of the claims is broader than the description of the embodiment is also an arbitrary configuration and method in the present invention in the sense that it is an example of the configuration and method of the present invention. .. In either case, by describing in the independent clause of the claims, it becomes an essential configuration and method of the present invention.

実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。 The effect described in the embodiment is an effect in the case of having the configuration of the embodiment as an example of the present invention, and is not necessarily the effect of the present invention.

複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。 When there are a plurality of embodiments, the configuration disclosed in each embodiment is not closed only in each embodiment, but can be combined across the embodiments. For example, the configuration disclosed in one embodiment may be combined with another embodiment. Further, the disclosed configurations may be collected and combined in each of the plurality of embodiments.

発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。 The problem described in the problem to be solved by the invention is not a known problem but a problem independently discovered by the present inventor, and is a fact that affirms the inventive step of the invention together with the structure and method of the present invention.

1.電子制御システム1の構成
図1を用いて、本実施形態の電子制御装置10を含む電子制御システム1を説明する。本実施形態の電子制御装置及び電子制御システムは、「移動体」である車両に「搭載されている」車載装置及び車載システムを想定しているが、これらに限定されるものではない。 1. 1. Configuration of Electronic Control System 1 An electronic control system 1 including the electronic control device 10 of the present embodiment will be described with reference to FIG. The electronic control device and the electronic control system of the present embodiment are assumed to be an in-vehicle device and an in-vehicle system "mounted" on a vehicle which is a "moving body", but are not limited thereto.

ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。 Here, the "moving body" means a movable object, and the moving speed is arbitrary. Of course, it also includes the case where the moving body is stopped. For example, including, but not limited to, automobiles, motorcycles, bicycles, pedestrians, ships, aircraft, and objects mounted on them.
Further, "mounted" includes the case where it is directly fixed to the moving body and the case where it is not fixed to the moving body but moves together with the moving body. For example, it may be possessed by a person in a moving body, or it may be mounted on a cargo placed on the moving body.

電子制御システム1は、単数または複数の「電子制御装置」(ECU(Electronic Control Unit)と記載することもある)、及びセンサ装置から構成されるシステムである。電子制御装置及び各センサ装置は、例えば、CAN(Controller Area Network)やLIN(Local Interconnect Network)といった車載ネットワークの他、イーサネット(登録商標)、又は無線通信ネットワークを介して接続されている。以下、これらを総称してネットワークとする。 The electronic control system 1 is a system composed of a single or a plurality of "electronic control devices" (sometimes referred to as an ECU (Electronic Control Unit)) and a sensor device. The electronic control device and each sensor device are connected via an in-vehicle network such as CAN (Controller Area Network) or LIN (Local Interconnect Network), Ethernet (registered trademark), or a wireless communication network. Hereinafter, these are collectively referred to as a network.

ここで、「電子制御装置」は、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、およびRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインターフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置(素子)であっても、配線基板において各半導体装置が配線接続された構成であってもよい。 Here, the "electronic control device" is configured as a so-called information processing device, for example, which is mainly composed of a semiconductor device and has a volatile storage unit such as a CPU (Central Processing Unit) and a RAM (Random Access Memory). May be. In this case, the information processing device may further have a non-volatile storage unit such as a flash memory, a network interface unit connected to a communication network, or the like. Further, such an information processing device may be a packaged semiconductor device (element) or may have a configuration in which each semiconductor device is connected by wiring on a wiring board.

電子制御装置10は、本実施形態の電子制御装置であり、詳細な構成は後述する。電子制御装置10は、例えば、Adaptive Platform(AP)と呼ばれる、動的な機能の拡張が可能なプラットフォームをベースとした電子制御装置である。APは主に、自動運転用の電子制御装置に適したプラットフォームである。 The electronic control device 10 is the electronic control device of the present embodiment, and the detailed configuration will be described later. The electronic control device 10 is, for example, an electronic control device based on a platform called Adaptive Platform (AP), which is capable of dynamically expanding functions. AP is mainly a platform suitable for electronic control devices for autonomous driving.

自動運転用電子制御装置11は、自動運転の制御に用いる電子制御装置であり、APをベースとしている。自動運転用電子制御装置11では、自動運転を実現するために、各種センサ装置にアクセスするソフトウェアがインストールされている。例えば、後述のミリ波センサ13や、LiDAR(Light Detection and Ranging)センサ14、画像センサ15にアクセスして、ミリ波センサ13、LiDARセンサ14、画像センサ15から取得した情報を統合的に分析し、人、車両、走行路、標識等の物体の種類を判別するセンサフュージョンソフトがインストールされ、自動運転用電子制御装置11で実行される。 The electronic control device 11 for automatic operation is an electronic control device used for controlling automatic operation, and is based on an AP. In the electronic control device 11 for automatic operation, software for accessing various sensor devices is installed in order to realize automatic operation. For example, the millimeter wave sensor 13, the LiDAR (Light Detection and Ranging) sensor 14, and the image sensor 15, which will be described later, are accessed to comprehensively analyze the information acquired from the millimeter wave sensor 13, the LiDAR sensor 14, and the image sensor 15. , A sensor fusion software for discriminating the type of an object such as a person, a vehicle, a traveling path, a sign, etc. is installed and executed by the electronic control device 11 for automatic driving.

車両制御用電子制御装置12は、車両制御に用いる電子制御装置である。車両制御用電子制御装置12は、例えばClassic Platform(CP)と呼ばれる、静的な機能を最適化したプラットフォームをベースとした電子制御装置である。 The vehicle control electronic control device 12 is an electronic control device used for vehicle control. The vehicle control electronic control device 12 is an electronic control device based on a platform with optimized static functions, for example, a Classic Platform (CP).

本実施形態では、自動運転用電子制御装置11及び車両制御用電子制御装置12がネットワークに接続されているが、その他の電子制御装置が接続されていてもよい。接続する電子制御装置としては、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。 In the present embodiment, the electronic control device 11 for automatic driving and the electronic control device 12 for vehicle control are connected to the network, but other electronic control devices may be connected. Examples of the electronic control device to be connected include a drive system electronic control device that controls an engine, a handle, a brake, etc., a vehicle body system electronic control device that controls a meter, a power window, etc., and an information system electronic control device such as a navigation device. Alternatively, a safety control system electronic control device that controls to prevent collision with an obstacle or a pedestrian can be mentioned.

また、電子制御システム1を構成する各電子制御装置は、ハイパーバイザによって管理される仮想マシンで実現してもよい。 Further, each electronic control device constituting the electronic control system 1 may be realized by a virtual machine managed by a hypervisor.

ミリ波センサ13は、ミリ波を対象物に照射してセンシングを行う機器であり、例えば対象物の距離や角度といった位置情報、及び対象物との相対速度を検知する。 The millimeter wave sensor 13 is a device that irradiates an object with millimeter waves for sensing, and detects position information such as the distance and angle of the object and the relative speed with the object.

LiDARセンサ14は、パルス状に発光するレーザー照射に対する散乱光を測定する機器であり、例えば遠距離にある対象までの距離やその対象の性質を検知する。 The LiDAR sensor 14 is a device that measures scattered light with respect to laser irradiation that emits light in a pulse shape, and detects, for example, the distance to an object at a long distance and the properties of the object.

画像センサ15は、光学系及びCCD等の撮像素子を含むセンサである。画像センサ15の例として、車両の外部や内部を撮影する車載カメラが挙げられる。 The image sensor 15 is a sensor including an optical system and an image pickup element such as a CCD. An example of the image sensor 15 is an in-vehicle camera that captures the outside and inside of the vehicle.

車内・車外環境センサ16は、車両の内外の環境情報を取得するセンサである。車内・車外環境センサ16の例として、温度計、湿度計、日照計が挙げられる。また、乗員の動き等を観察するカメラ等の画像センサを、車内・車外環境センサ16として用いてもよい。 The vehicle interior / exterior environment sensor 16 is a sensor that acquires environmental information inside and outside the vehicle. Examples of the vehicle interior / exterior environment sensor 16 include a thermometer, a hygrometer, and a pyranometer. Further, an image sensor such as a camera for observing the movement of the occupant may be used as the in-vehicle / outside environment sensor 16.

ミリ波センサ13、LiDARセンサ14、画像センサ15、及び車内・車外環境センサ16は、「センサ装置」に該当する。このほか、外部との通信を制御する通信用電子制御装置や、外部センサを接続する各種インターフェースも、「センサ装置」に該当する。これらのセンサ装置は、図1では電子制御措置を介してネットワークに接続されているが、電子制御装置を介さず、直接ネットワークに接続されていてもよい。 The millimeter wave sensor 13, the LiDAR sensor 14, the image sensor 15, and the in-vehicle / outside environment sensor 16 correspond to the “sensor device”. In addition, electronic control devices for communication that control communication with the outside and various interfaces that connect external sensors also fall under the category of "sensor devices". Although these sensor devices are connected to the network via electronic control measures in FIG. 1, they may be directly connected to the network without going through the electronic control devices.

ここで、「センサ装置」とは、情報やデータを取得、生成、又は受信する装置をいう。 Here, the "sensor device" means a device that acquires, generates, or receives information or data.

2.電子制御装置10の構成
図2を用いて、本実施形態の電子制御装置10の構成を説明する。
電子制御装置10は、入力部101、ソフトウェア特定情報管理部102、認証部103、有効期限管理部104、保存部15、出力部106を有する。 2. 2. Configuration of Electronic Control Device 10 The configuration of the electronic control device 10 of the present embodiment will be described with reference to FIG.
The electronic control device 10 includes an input unit 101, a software specific information management unit 102, an authentication unit 103, an expiration date management unit 104, a storage unit 15, and an output unit 106.

電子制御装置10は、大きく分けて、通信管理部及びセキュリティ管理部から構成される。通信管理部は、主にネットワーク上の通信を管理し、異常な通信を遮断する機能を有している。通信管理部は、PEP(Policy Enforcement Point)とも称される。セキュリティ管理部は、ネットワークのセキュリティを確保する機能を有している。セキュリティ管理部は、PDP(Policy Decision Point)とも称される。これらは、同一の半導体素子に実装されても、異なる半導体素子に分けて実装されてもよい。また、電子制御装置10の構成を通信監理部及びセキュリティ管理部のどちらに振り分けるかは適宜決めることができる。例えば、ソフトウェア特定情報管理部102や有効期限管理部104を、セキュリティ管理部の機能としてもよい。 The electronic control device 10 is roughly divided into a communication management unit and a security management unit. The communication management unit mainly manages communication on the network and has a function of blocking abnormal communication. The communication management unit is also referred to as PEP (Policy Enforcement Point). The security management unit has a function of ensuring the security of the network. The security management unit is also called PDP (Policy Decision Point). These may be mounted on the same semiconductor element or may be separately mounted on different semiconductor elements. Further, it is possible to appropriately decide whether to allocate the configuration of the electronic control device 10 to the communication control unit or the security management unit. For example, the software specific information management unit 102 or the expiration date management unit 104 may be used as a function of the security management unit.

電子制御装置10は、汎用のCPU、RAM等の揮発性メモリ、ROM、フラッシュメモリ又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。
もちろん、電子制御装置10を、LSI等の専用のハードウェアで実現してもよい。 The electronic control device 10 can be composed of a general-purpose CPU, a volatile memory such as RAM, a non-volatile memory such as a ROM, a flash memory or a hard disk, various interfaces, and an internal bus connecting them. Then, by executing the software on these hardware, it can be configured to exert the function of each functional block shown in FIG.
Of course, the electronic control device 10 may be realized by dedicated hardware such as LSI.

入力部101は、ネットワークに接続された電子制御装置やセンサ装置が送信した情報(データ)や命令(コマンド)が入力される。本実施形態では、例えば自動運転用電子制御装置11のセンサフュージョンソフトのような、センサ装置にアクセスするソフトウェアが起動したことを示す「起動情報」が入力される。 The input unit 101 inputs information (data) and commands (commands) transmitted by an electronic control device or a sensor device connected to the network. In the present embodiment, "startup information" indicating that software for accessing the sensor device, such as sensor fusion software of the electronic control device 11 for automatic operation, has been started is input.

ここで、「起動情報」とは、起動したことを直接示す情報である場合の他、起動後最初に送信することが規定された情報など、起動したことが特定できるような間接事実を示す情報であってもよい。 Here, the "startup information" is information that directly indicates that the device has been started, or information that indicates an indirect fact that can be identified as having started, such as information that is specified to be transmitted first after the start-up. May be.

起動情報の例としては、ソフトウェアを特定するソフトウェア特定情報が挙げられる。ソフトウェア起動時にソフトウェア特定情報を最初に送信することにより、当該ソフトウェアが起動したことをネットワークに接続されている機器に対して通知することができる。ソフトウェア特定情報の例として、ソフトウェアの種類、車両の識別番号、ソフトウェアの識別番号、ソフトウェアのチェックサム、ソフトウェアのユーザ識別番号、ソフトウェア名、ソフトウェア格納場所(ファイルパス)、ハッシュ値(例えば、ソフトウェア実行ファイルのチェックサムから計算したハッシュ値)、予め割り当てられた固定鍵、証明書が挙げられる。
特にチェックサムやハッシュ値を用いることにより、少ないデータ量でソフトウェアを特定することができる。 Examples of startup information include software-specific information that identifies the software. By first transmitting the software specific information when the software is started, it is possible to notify the device connected to the network that the software has started. Examples of software specific information include software type, vehicle identification number, software identification number, software checksum, software user identification number, software name, software storage location (file path), hash value (eg, software execution). Hash value calculated from the checksum of the file), pre-assigned fixed key, certificate.
In particular, by using checksums and hash values, software can be specified with a small amount of data.

その他、起動情報には、ソフトウェアがアクセスするセンサ装置を特定するセンサ装置特定情報を含めてもよい。例えば本実施形態のセンサフュージョンソフトでは、ミリ波センサ13の識別番号や、LiDARセンサ14の識別番号を含めてもよい。これにより、より正確にソフトウェアを特定できるとともに、アクセスするセンサ装置の情報を簡単に得ることができる。 In addition, the activation information may include sensor device identification information that identifies the sensor device to be accessed by the software. For example, in the sensor fusion software of the present embodiment, the identification number of the millimeter wave sensor 13 and the identification number of the LiDAR sensor 14 may be included. As a result, the software can be specified more accurately, and information on the sensor device to be accessed can be easily obtained.

ソフトウェア特定情報管理部102は、ソフトウェアを特定するソフトウェア特定情報の管理を行う。具体的には、ソフトウェア特定情報管理部102は、以下の処理を行う。 The software specific information management unit 102 manages software specific information that specifies software. Specifically, the software specific information management unit 102 performs the following processing.

第1に、ソフトウェア特定情報管理部102は、入力部101に入力された「起動情報から」、ソフトウェアを特定するソフトウェア特定情報を「取得する」。例えば、起動情報に含まれるソフトウェア特定情報を抽出してもよいし、起動情報に含まれる1つまたは複数の情報から、起動したソフトウェアを推定するようにしてもよい。 First, the software specific information management unit 102 "acquires" software specific information that specifies software from "startup information" input to the input unit 101. For example, the software specific information included in the startup information may be extracted, or the started software may be estimated from one or more pieces of information included in the startup information.

ここで、「起動情報から」「取得する」とは、起動情報から新たにソフトウェア特定情報を生成することにより取得する場合、起動情報からソフトウェア特定情報を抜き出すことにより取得する場合、のいずれも含む。 Here, "acquired" from "startup information" includes both cases of acquisition by newly generating software specific information from startup information and cases of acquisition by extracting software specific information from startup information. ..

第2に、ソフトウェア特定情報管理部102は、取得したソフトウェア特定情報を後述の保存部105に保存したり、保存部105に保存したソフトウェア特定情報を読み出したりなど、ソフトウェア特定情報の入出力を管理する。 Second, the software specific information management unit 102 manages input / output of software specific information, such as storing the acquired software specific information in the storage unit 105 described later and reading out the software specific information stored in the storage unit 105. do.

第3に、ソフトウェア特定情報管理部102は、保存部105に保存されたソフトウェア特定情報(「第1のソフトウェア特定情報」に相当)と、入力部101に新たに入力された起動情報(「第2の起動情報」に相当)から求めたソフトウェア特定情報(「第2のソフトウェア特定情報」に相当)とを比較し、一致するかどうかを判定する。すなわち、新たに入力された起動情報から求めたソフトウェア特定情報が、既に保存部105に保存されているかどうかを判定することにより、過去に起動したソフトウェアかどうかを判定する。 Third, the software specific information management unit 102 has the software specific information stored in the storage unit 105 (corresponding to the "first software specific information") and the activation information newly input to the input unit 101 ("first"). It is compared with the software specific information (corresponding to the "second software specific information") obtained from (corresponding to "2 startup information"), and it is determined whether or not they match. That is, by determining whether or not the software specific information obtained from the newly input startup information is already stored in the storage unit 105, it is determined whether or not the software has been started in the past.

認証部103は、入力部101から入力された起動情報に基づき、ソフトウェアのセンサ装置へのアクセスの認証を行う。本実施形態では、例えば自動運転用電子制御装置11のセンサフュージョンソフトの起動情報に、ソフトウェアの識別番号と固定鍵、センサ装置としてのミリ波センサ13の識別番号、及びセンサ装置としてのLiDARセンサ14の識別番号が含まれているとする。この場合、認証部103は、認証部103に接続された図示しないデータベースでこれらの情報が一致するかどうかを確認する。そして、認証部103は、通信管理部に対し、センサフュージョンソフトから以降に出力されたミリ波センサ13及びLiDARセンサ14へのアクセス要求を、出力部106からミリ波センサ13及びLiDARセンサ14へ出力してよいとの認証の結果を通知することにより、アクセスの認証が完了する。 The authentication unit 103 authenticates access to the software sensor device based on the activation information input from the input unit 101. In the present embodiment, for example, the start information of the sensor fusion software of the electronic control device 11 for automatic operation includes the identification number and fixed key of the software, the identification number of the millimeter wave sensor 13 as the sensor device, and the LiDAR sensor 14 as the sensor device. It is assumed that the identification number of is included. In this case, the authentication unit 103 checks whether or not these information match in a database (not shown) connected to the authentication unit 103. Then, the authentication unit 103 outputs an access request to the millimeter wave sensor 13 and the LiDAR sensor 14 subsequently output from the sensor fusion software to the communication management unit from the output unit 106 to the millimeter wave sensor 13 and the LiDAR sensor 14. By notifying the result of the authentication that it is okay to do so, the authentication of access is completed.

認証部103の認証方法は、任意の方法を用いることができる。例えば、起動情報に対してメッセージ認証を行ってもよい。 Any method can be used as the authentication method of the authentication unit 103. For example, message authentication may be performed on the activation information.

認証部103の認証が成功すれば、電子制御装置10はソフトウェアのアクセス要求を認証済アクセス要求としてセンサ装置に出力する。認証部103の認証が失敗すれば、電子制御装置10によりアクセス要求は遮断される。 If the authentication of the authentication unit 103 is successful, the electronic control device 10 outputs the software access request to the sensor device as an authenticated access request. If the authentication of the authentication unit 103 fails, the access request is blocked by the electronic control device 10.

有効期限管理部104は、認証部103から通知された認証の有効期限の管理を行う。有効期限とは、認証が有効な期限又は期間を示す情報である。有効期限は、時間や時刻で表すことの他、例えば走行距離や、走行速度が所定の速度を超えた場合等、認証が無効になる時点が特定できるような情報であればよい。具体的には、有効期限管理部103は、以下の処理を行う。 The expiration date management unit 104 manages the expiration date of the authentication notified by the authentication unit 103. The expiration date is information indicating the expiration date or period during which the certification is valid. The expiration date may be expressed in terms of time or time, or may be information that can specify the time when authentication becomes invalid, such as when the mileage or the traveling speed exceeds a predetermined speed. Specifically, the expiration date management unit 103 performs the following processing.

第1に、有効期限管理部104は、認証部103から通知された認証に対し、有効期限を設定する。有効期限は、一定の値でも、条件により変動する値でもよい。また、ソフトウェアの種類に応じて設定してもよい。例えば、センサ装置に頻繁にアクセスするソフトウェアに対しては、有効期限を長く設定する。また、重要なデータを出力するセンサ装置が含まれる場合は、有効期限を短く設定してもよい。 First, the expiration date management unit 104 sets an expiration date for the authentication notified from the authentication unit 103. The expiration date may be a constant value or a value that varies depending on the conditions. Further, it may be set according to the type of software. For example, for software that frequently accesses the sensor device, set a long expiration date. Further, if a sensor device that outputs important data is included, the expiration date may be set short.

第2に、有効期限管理部104は、設定した有効期限を後述の保存部105に保存したり、保存部105に保存した有効期限を読み出したりなど、有効期限の入出力を管理する。 Second, the expiration date management unit 104 manages input / output of the expiration date, such as storing the set expiration date in the storage unit 105 described later and reading the expiration date stored in the storage unit 105.

第3に、有効期限管理部104は、入力部101に新たに入力された起動情報(「第2の起動情報」に相当)が、保存部105に保存された有効期限内に入力されたかどうかを判定する。すなわち、新たに入力された起動情報が、既に保存部105に保存されている認証の有効期限内かどうかを判定することにより、そのソフトウェアが過去に起動したソフトウェアかどうかを判定する。 Third, whether the expiration date management unit 104 has entered the activation information newly input to the input unit 101 (corresponding to the "second activation information") within the expiration date stored in the storage unit 105. To judge. That is, by determining whether or not the newly input activation information is within the expiration date of the authentication already stored in the storage unit 105, it is determined whether or not the software has been activated in the past.

保存部105は、ソフトウェア特定情報管理部102で取得したソフトウェア特定情報を保存する。また、保存部105は、有効期限管理部104で設定した有効期限を保存する。
保存部105は、ハードウェアのメモリであり、SRAMやDRAMといった揮発性メモリ、フラッシュメモリやハードディスク等の不揮発性メモリである。保存部105には、バッファも含まれる。電子制御装置100が仮想マシンである場合は、仮想メモリでもよい。保存部105は、電子制御装置10の外部に設け、ネットワークを介してアクセスするようにしてもよい。 The storage unit 105 stores the software specific information acquired by the software specific information management unit 102. Further, the storage unit 105 stores the expiration date set by the expiration date management unit 104.
The storage unit 105 is a hardware memory, a volatile memory such as SRAM or DRAM, or a non-volatile memory such as a flash memory or a hard disk. The storage unit 105 also includes a buffer. When the electronic control device 100 is a virtual machine, it may be a virtual memory. The storage unit 105 may be provided outside the electronic control device 10 and may be accessed via a network.

出力部106は、入力部101に入力された情報(データ)や命令(コマンド)が、アプリケーション特定情報管理部102、認証部103、有効期限管理部104の制御を受けて出力される。本実施形態では、認証を受けたセンサフュージョンソフトから出力されたミリ波センサ13及びLiDARセンサ14へのアクセス要求を、認証済アクセス要求としてミリ波センサ13及びLiDARセンサ14へ出力する。 The output unit 106 outputs the information (data) and commands (commands) input to the input unit 101 under the control of the application specific information management unit 102, the authentication unit 103, and the expiration date management unit 104. In the present embodiment, the access request to the millimeter wave sensor 13 and the LiDAR sensor 14 output from the certified sensor fusion software is output to the millimeter wave sensor 13 and the LiDAR sensor 14 as a certified access request.

以上のような構成により、本実施形態の電子制御装置10は、ソフトウェアの起動情報に基づき認証を行っているので、ソフトウェア単位で認証を行うことができる。その結果、個々のデータやコマンドを逐一認証する必要はないので、処理の遅延を防止しつつ、必要なセキュリティを担保することができる。
また、本実施形態の電子制御装置10は、起動情報からソフトウェア特定情報を取得して保存しているので、2回目以降のソフトウェアの起動に対する認証を簡易に行うことができる。その結果、2回目以降の起動時の処理の遅延を防止しつつ、必要なセキュリティを担保することができる。
そして、本実施形態の電子制御装置10は、認証の有効期限を設定しているので、ソフトウェアに応じてセキュリティの有効期間を調整することができる。 With the above configuration, the electronic control device 10 of the present embodiment performs authentication based on software activation information, so that authentication can be performed on a software-by-software basis. As a result, it is not necessary to authenticate individual data and commands one by one, so it is possible to ensure the necessary security while preventing processing delays.
Further, since the electronic control device 10 of the present embodiment acquires and stores the software specific information from the activation information, it is possible to easily authenticate the software for the second and subsequent activations. As a result, it is possible to ensure the necessary security while preventing the delay of the processing at the time of the second and subsequent startups.
Since the electronic control device 10 of the present embodiment sets the expiration date of the authentication, the validity period of the security can be adjusted according to the software.

3.センサ装置の構成
図3を用いて、本実施形態のセンサ装置の構成を説明する。
センサ装置は、検知部111、受信部112、及び送信部113を有する。
なお、以下の検知部111、受信部112、及び送信部113の説明は、センサ装置自身で実現する場合の他、図1のようにネットワークとの間に介在する電子制御装置と連携して実現する場合、あるいはセンサ装置はセンサデータを生成するのみで、ネットワークとの間に介在する電子制御装置上で実現する場合も含む。いずれの場合も、検知部111、受信部112、及び送信部113の機能を発揮する部分が「センサ装置」に該当する。 3. 3. Configuration of Sensor Device The configuration of the sensor device of this embodiment will be described with reference to FIG.
The sensor device includes a detection unit 111, a reception unit 112, and a transmission unit 113.
The following description of the detection unit 111, the reception unit 112, and the transmission unit 113 is realized not only in the case where the sensor device itself is realized, but also in cooperation with the electronic control device interposed between the sensor device and the network as shown in FIG. This includes cases where the sensor device only generates sensor data and is realized on an electronic control device which is interposed between the sensor device and the network. In any case, the portion that exerts the functions of the detection unit 111, the reception unit 112, and the transmission unit 113 corresponds to the “sensor device”.

検知部111は、センシング対象を測定又は検出することにより、センサデータを取得する。
センサ装置がミリ波センサ13の場合は、対象物の距離や角度といった位置情報や、対象物との相対速度を取得する。
センサ装置がLiDARセンサ14の場合は、対象物までの距離やその対象の性質を取得する。
センサ装置が画像センサ15の場合は、撮像対象の画像データを取得する。
センサ装置が車内・車外環境センサ16の場合は、温度、湿度、光量等を取得する。 The detection unit 111 acquires sensor data by measuring or detecting the sensing target.
When the sensor device is a millimeter wave sensor 13, position information such as the distance and angle of the object and the relative speed with the object are acquired.
When the sensor device is a LiDAR sensor 14, the distance to the object and the property of the object are acquired.
When the sensor device is the image sensor 15, the image data to be imaged is acquired.
When the sensor device is an in-vehicle / outside environment sensor 16, the temperature, humidity, light intensity, and the like are acquired.

受信部112は、センサ装置にアクセスするソフトウェアがセンサ装置に送信したアクセス要求を受信する。本実施形態の場合、例えば自動運転用電子制御装置11で実行されているセンサフュージョンソフトが、ミリ波センサ13やLiDARセンサ14に送信したアクセス要求を受信する。本実施形態の場合、ソフトウェア自体がセンサ装置へのアクセスの認証を得ているので、アクセス要求は必ずしも電子制御装置10を経由しなくてもよい。 The receiving unit 112 receives the access request transmitted to the sensor device by the software that accesses the sensor device. In the case of the present embodiment, for example, the sensor fusion software executed by the electronic control device 11 for automatic operation receives the access request transmitted to the millimeter wave sensor 13 and the LiDAR sensor 14. In the case of the present embodiment, since the software itself has been authenticated for access to the sensor device, the access request does not necessarily have to go through the electronic control device 10.

送信部113は、受信部112で受信したアクセス要求に応じて、検知部111で検知したセンサデータを、送信元であるソフトウェアが起動している機器に送信する。本実施形態の場合、ミリ波センサ13やLiDARセンサ14で検知したセンサデータを、送信元である自動運転用電子制御装置11に送信する。 The transmission unit 113 transmits the sensor data detected by the detection unit 111 to the device in which the software that is the transmission source is running, in response to the access request received by the reception unit 112. In the case of the present embodiment, the sensor data detected by the millimeter wave sensor 13 and the LiDAR sensor 14 is transmitted to the electronic control device 11 for automatic operation, which is the transmission source.

4.電子制御装置10の動作
図4及び図5は、電子制御システム1又は電子制御装置10の動作を示す図である。図4は、ソフトウェアの初回起動時の処理を説明する図、図5は、ソフトウェアの2回目以降の起動時の処理を説明する図である。 4. Operation of Electronic Control Device 10 FIGS. 4 and 5 are diagrams showing the operation of the electronic control system 1 or the electronic control device 10. FIG. 4 is a diagram for explaining the processing at the time of starting the software for the first time, and FIG. 5 is a diagram for explaining the processing at the time of starting the software for the second time and thereafter.

図4及び図5は、電子制御システム1や電子制御装置10で実行されるソフトウェア認証方法を示すだけでなく、電子制御システム1や電子制御装置10で実行可能なソフトウェア認証プログラムの処理手順を示すものでもある。そして、これらの処理は、図4及び図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。例えば、以下のS203とS204は順序を入れ替えることができる。 4 and 5 not only show the software authentication method executed by the electronic control system 1 and the electronic control device 10, but also show the processing procedure of the software authentication program that can be executed by the electronic control system 1 and the electronic control device 10. It is also a thing. And these processes are not limited to the order shown in FIGS. 4 and 5. That is, the order may be changed as long as there is no restriction that the result of the previous step is used in a certain step. For example, the following S203 and S204 can be rearranged in order.

まず、図4を用いて、ソフトウェアの初回起動時の処理を説明する。初回起動時の例として、車両起動時、あるいは車両起動後初めてソフトウェアが発揮する機能を使用した時、が挙げられる。 First, the process at the first startup of the software will be described with reference to FIG. An example of the first startup is when the vehicle is started, or when the function exhibited by the software is used for the first time after the vehicle is started.

センサ装置にアクセスするソフトウェアが起動すると、ソフトウェアを搭載する電子制御装置は起動情報を送信する。本実施形態では、自動運転用電子制御装置11のセンサフュージョンソフトが起動すると、自動運転用電子制御装置11は、センサフュージョンソフトの起動情報を送信する。
そして、電子制御装置10の入力部101には、ネットワークを介して起動情報が入力される(S101)。 When the software that accesses the sensor device is activated, the electronic control device equipped with the software sends activation information. In the present embodiment, when the sensor fusion software of the electronic control device 11 for automatic operation is activated, the electronic control device 11 for automatic operation transmits the activation information of the sensor fusion software.
Then, the activation information is input to the input unit 101 of the electronic control device 10 via the network (S101).

ソフトウェア特定情報管理部102は、S101で受信した起動情報から、ソフトウェアを特定するソフトウェア特定情報を取得する(S102)。 The software specific information management unit 102 acquires software specific information that identifies software from the startup information received in S101 (S102).

保存部105は、S102で取得したソフトウェア特定情報を保存する(S103)。 The storage unit 105 stores the software specific information acquired in S102 (S103).

認証部103は、S101で入力された起動情報に基づき、ソフトウェアのセンサ装置へのアクセスの認証を行う(S104)。本実施形態では、起動情報に含まれるセンサ装置特定情報を用いて、センサフュージョンソフトのミリ波センサ13及びLiDARセンサ14へのアクセスの認証を行う。 The authentication unit 103 authenticates access to the software sensor device based on the activation information input in S101 (S104). In the present embodiment, the access to the millimeter wave sensor 13 and the LiDAR sensor 14 of the sensor fusion software is authenticated by using the sensor device specific information included in the activation information.

認証部103でソフトウェアのセンサ装置へのアクセスが認証された場合、有効期限管理部104は、S104の認証の有効期限を設定する(S105)。 When the access to the software sensor device is authenticated by the authentication unit 103, the expiration date management unit 104 sets the authentication expiration date of S104 (S105).

認証部103でソフトウェアのセンサ装置へのアクセスが認証された場合、出力部106はソフトウェアから出力されたアクセス要求をセンサ装置に出力する(S106)。本実施形態の場合、認証を受けたセンサフュージョンソフトから出力されたミリ波センサ13及びLiDARセンサ14へのアクセス要求を、ミリ波センサ13及びLiDARセンサ14へ出力する。 When the access to the sensor device of the software is authenticated by the authentication unit 103, the output unit 106 outputs the access request output from the software to the sensor device (S106). In the case of the present embodiment, the access request to the millimeter wave sensor 13 and the LiDAR sensor 14 output from the certified sensor fusion software is output to the millimeter wave sensor 13 and the LiDAR sensor 14.

次に、図5を用いて、ソフトウェアの2回目以降の起動時の処理を説明する。
一旦終了していたソフトウェアが再度起動すると、ソフトウェアを搭載する電子制御装置は起動情報を送信する。そして、電子制御装置10の入力部101には、ネットワークを介して起動情報(「第2の起動情報」に相当)が入力される(S201)。 Next, with reference to FIG. 5, the processing at the time of starting the software from the second time onward will be described.
When the software that has been terminated is started again, the electronic control device equipped with the software sends the start information. Then, activation information (corresponding to "second activation information") is input to the input unit 101 of the electronic control device 10 via the network (S201).

ソフトウェア特定情報管理部102は、S201で受信した起動情報から、ソフトウェアを特定するソフトウェア特定情報(「第2のソフトウェア特定情報」に相当)を取得する(S202)。 The software specific information management unit 102 acquires software specific information (corresponding to "second software specific information") that identifies software from the startup information received in S201 (S202).

ソフトウェア特定情報管理部102は、保存部105からすでに保存されているソフトウェア特定情報(「第1のソフトウェア特定情報」に相当)を読み出す。そして、ソフトウェア特定情報管理部102は、保存部105から読み出したソフトウェア特定情報とS202で取得したソフトウェア特定情報とが一致するかどうかを判定する(S203)。一致する場合は(S203:Y)S204に処理を移し、一致しない場合は(S203:N)S205に処理を移す。 The software specific information management unit 102 reads out the software specific information (corresponding to the "first software specific information") that has already been stored from the storage unit 105. Then, the software specific information management unit 102 determines whether or not the software specific information read from the storage unit 105 and the software specific information acquired in S202 match (S203). If they match, the process is transferred to (S203: Y) S204, and if they do not match, the process is transferred to (S203: N) S205.

有効期限管理部104は、保存部105からすでに保存されている有効期限を読み出す。そして、S201で入力された起動情報が有効期限内に入力されたかどうかを判定する(S204)。有効期限内に入力された場合は(S204:Y)S207に処理を移し、有効期限内に入力されない、つまり有効期限外に入力された場合は(S204:N)、S205に処理を移す。 The expiration date management unit 104 reads out the expiration date already stored from the storage unit 105. Then, it is determined whether or not the activation information input in S201 is input within the expiration date (S204). If it is input within the expiration date, the process is transferred to (S204: Y) S207, and if it is not input within the expiration date, that is, if it is input outside the expiration date (S204: N), the process is transferred to S205.

認証部103は、S201で入力された起動情報に基づき、ソフトウェアのセンサ装置へのアクセスの認証を行う(S205)。 The authentication unit 103 authenticates access to the software sensor device based on the activation information input in S201 (S205).

認証部103でソフトウェアのセンサ装置へのアクセスが認証された場合、有効期限管理部104は、S205の認証の有効期限を設定する(S206)。 When the access to the software sensor device is authenticated by the authentication unit 103, the expiration date management unit 104 sets the expiration date of the authentication of S205 (S206).

出力部106は、ソフトウェアから出力されたアクセス要求をセンサ装置に出力する(S207)。 The output unit 106 outputs the access request output from the software to the sensor device (S207).

なお、S203でソフトウェア特定情報管理部102が比較に用いるソフトウェア特定情報と、S104やS205で認証部103が用いる起動情報は、同じであってもよいが、異なる情報を用いることが望ましい。たとえば、S203で用いるソフトウェア特定情報の情報量が、S104やS205で用いる起動情報の情報量よりも少なければ、認証の信頼度を上げるとともに、2回目以降の起動を早めることができる。 The software specific information used for comparison by the software specific information management unit 102 in S203 and the activation information used by the authentication unit 103 in S104 and S205 may be the same, but it is desirable to use different information. For example, if the amount of software-specific information used in S203 is smaller than the amount of activation information used in S104 or S205, the reliability of authentication can be increased and the second and subsequent activations can be accelerated.

また、1回目の認証で一時鍵を生成し、この一時鍵を2回目以降のソフトウェア起動時にソフトウェア特定情報管理部102が比較に用いるソフトウェア特定情報として用いてもよい。 Further, a temporary key may be generated by the first authentication, and this temporary key may be used as software specific information used for comparison by the software specific information management unit 102 when the software is started from the second time onward.

なお、図5は、ソフトウェアの2回目以降の起動時の処理として説明したが、初回起動時にも適用することができる。すなわち、初回起動時は保存部105にはソフトウェア特定情報は保存されていないから、S203での判定結果はN(No)となり、S205で認証が行われる。 Although FIG. 5 has been described as the processing at the time of starting the software for the second time or later, it can also be applied at the time of starting the software for the first time. That is, since the software specific information is not stored in the storage unit 105 at the first startup, the determination result in S203 is N (No), and authentication is performed in S205.

また、図5のフローに加え、定期的に有効期限管理部104を起動して有効期限をチェックすることにより、S203のステップを省略して認証部103での認証を行うようにしてもよい。これにより、頻繁に起動と終了を繰り返すようなソフトウェアの起動を早めることができる。また、異常があればソフトウェアの起動のタイミングに関係なく、センサ装置へのアクセスを遮断することができる。 Further, in addition to the flow of FIG. 5, by periodically starting the expiration date management unit 104 to check the expiration date, the step of S203 may be omitted and the authentication unit 103 may perform authentication. As a result, it is possible to accelerate the start-up of software that is frequently started and stopped. Further, if there is an abnormality, access to the sensor device can be blocked regardless of the timing of starting the software.

以上のような処理により、本実施形態のソフトウェア認証方法及びソフトウェア認証プログラムは、2回目以降の起動時には認証を省略するので、処理の遅延を防止することができる。
また、本実施形態のソフトウェア認証方法及びソフトウェア認証プログラムは、有効期限外に起動した場合は再度認証を行うので、必要なセキュリティを担保することができる。 By the above processing, the software authentication method and the software authentication program of the present embodiment omit the authentication at the time of the second and subsequent startups, so that the processing delay can be prevented.
Further, since the software authentication method and the software authentication program of the present embodiment perform authentication again when the software authentication program is started outside the expiration date, the necessary security can be ensured.

5.総括
以上、本発明の各実施形態における電子制御装置、及び当該電子制御装置を備える電子制御システムの特徴について説明した。 5. Summary The features of the electronic control device according to each embodiment of the present invention and the electronic control system including the electronic control device have been described above.

各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。 Since the terms used in each embodiment are examples, they may be replaced with synonymous terms or terms including synonymous functions.

実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。 The block diagram used in the description of the embodiment is a classification and arrangement of the configurations of the devices according to their functions. The blocks showing each function are realized by any combination of hardware or software. Further, since the block diagram shows the function, the block diagram can be grasped as the disclosure of the invention of the method and the invention of the program that realizes the method.

各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。 The order of the processes, flows, and functional blocks that can be grasped as a method described in each embodiment is changed unless there is a restriction that one step uses the results of other steps in the previous stage. May be good.

各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。 The terms first, second, and N (where N is an integer), which are used in each embodiment and in the claims, are used to distinguish two or more configurations or methods of the same type. , Does not limit the order or superiority or inferiority.

各実施形態の電子制御装置は、車両に搭載される車載装置を構成する電子制御装置であることを前提としているが、本発明の電子制御装置は、特許請求の範囲で特に限定する場合を除き、任意の電子制御システムに適用される。 The electronic control device of each embodiment is premised on being an electronic control device constituting an in-vehicle device mounted on a vehicle, but the electronic control device of the present invention is not limited to the scope of claims. , Applies to any electronic control system.

また、本発明の装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。 Moreover, the following can be mentioned as an example of the form of the apparatus of this invention.
Examples of the form of the component include a semiconductor element, an electronic circuit, a module, and a microcomputer.
Examples of the form of the semi-finished product include an electronic control unit (ECU (Electric Control Unit)) and a system board.
Examples of the finished product include mobile phones, smartphones, tablets, personal computers (PCs), workstations, and servers.
In addition, it includes a device having a communication function and the like, and examples thereof include a video camera, a still camera, and a car navigation system.

また各装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。 In addition, necessary functions such as an antenna and a communication interface may be added to each device.

加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。 In addition, the present invention can be realized not only by the dedicated hardware having the configuration and the function described in each embodiment, but also a program for realizing the present invention recorded on a recording medium such as a memory or a hard disk, and a program thereof. It can also be realized as a combination with a general-purpose hardware having an executable dedicated or general-purpose CPU and a memory or the like.

専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。 Programs stored in a non-transitional substantive recording medium of dedicated or general-purpose hardware (for example, an external storage device (for example, hard disk, USB memory, CD / BD, etc.) or an internal storage device (RAM, ROM, etc.)) It can also be provided to dedicated or general-purpose hardware via a recording medium or via a communication line from a server without a recording medium. This ensures that you always have the latest features through program upgrades.

本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。 Although the electronic control device of the present invention has been described mainly as an in-vehicle electronic control device mounted on an automobile, it can be applied to all moving moving objects such as motorcycles, ships, railways, and aircraft. Further, it can be applied not only to mobile objects but also to all products including microcomputers.

1 電子制御システム、10 電子制御装置、101 入力部、102 ソフトウェア特定情報管理部、103 認証部、104 有効期限管理部、105 保存部、106 出力部 1 Electronic control system, 10 Electronic control device, 101 Input unit, 102 Software specific information management unit, 103 Authentication unit, 104 Expiration date management unit, 105 Storage unit, 106 Output unit

Claims (11)

センサ装置(13~16)にアクセスするソフトウェアが起動したことを示す起動情報が入力される入力部(101)と、
前記起動情報から、前記ソフトウェアを特定するソフトウェア特定情報を取得するソフトウェア特定情報管理部(102)と、
前記ソフトウェア特定情報を保存する保存部(105)と、
前記起動情報に基づき、前記ソフトウェアの前記センサ装置へのアクセスの認証を行う認証部(103)と、
前記ソフトウェアから出力されたアクセス要求を前記センサ装置に出力する出力部(106)と、を有する、
電子制御装置(10)。 An input unit (101) into which start information indicating that software for accessing the sensor device (13 to 16) has started is input, and an input unit (101).
A software specific information management unit (102) that acquires software specific information that identifies the software from the startup information, and
A storage unit (105) that stores the software specific information, and
An authentication unit (103) that authenticates access to the sensor device of the software based on the activation information, and
It has an output unit (106) that outputs an access request output from the software to the sensor device.
Electronic control device (10). さらに、前記認証の有効期限を設定する有効期限管理部(104)を有し、
前記保存部は、前記有効期限を保存する、
請求項1記載の電子制御装置。 Further, it has an expiration date management unit (104) for setting the expiration date of the authentication.
The storage unit stores the expiration date.
The electronic control device according to claim 1. 前記起動情報には、前記ソフトウェアがアクセスする前記センサ装置を特定するセンサ装置特定情報を含む、
請求項1記載の電子制御装置。 The activation information includes sensor device identification information that identifies the sensor device accessed by the software.
The electronic control device according to claim 1. 前記保存部に、前記起動情報である第1の起動情報に基づき取得された前記ソフトウェア特定情報である第1のソフトウェア特定情報が保存されており、前記入力部に第2の起動情報が入力された場合において、
前記ソフトウェア特定情報管理部は、前記第1のソフトウェア特定情報と前記第2の起動情報から取得した第2のソフトウェア特定情報とが一致するかどうかを判定し、前記第1のソフトウェア特定情報と前記第2のソフトウェア特定情報が一致する場合は前記認証部での認証を行わない、
請求項1記載の電子制御装置。 The first software specific information, which is the software specific information acquired based on the first start information, which is the start information, is stored in the storage unit, and the second start information is input to the input unit. In that case
The software specific information management unit determines whether or not the first software specific information and the second software specific information acquired from the second startup information match, and the first software specific information and the said If the second software specific information matches, the authentication unit does not perform authentication.
The electronic control device according to claim 1. 前記保存部に、前記有効期限が保存されており、前記入力部に第2の起動情報が入力された場合において、
前記有効期限管理部は、前記入力部に前記第2の起動情報が前記有効期限内に入力されたかどうかを判定し、前記第2の起動情報が前記有効期限内に入力された場合は前記認証部での認証を行わない、
請求項2記載の電子制御装置。 When the expiration date is stored in the storage unit and the second activation information is input to the input unit,
The expiration date management unit determines whether or not the second activation information has been input to the input unit within the expiration date, and if the second activation information is input within the expiration date, the authentication Do not authenticate in the department,
The electronic control device according to claim 2. 前記保存部に、前記起動情報である第1の起動情報に基づき取得された前記ソフトウェア特定情報である第1のソフトウェア特定情報、及び、前記有効期限が保存されており、前記入力部に第2の起動情報が入力された場合において、
前記ソフトウェア特定情報管理部は、前記第1のソフトウェア特定情報と前記第2の起動情報から取得した第2のソフトウェア特定情報とが一致するかどうかを判定し、
前記有効期限管理部は、前記入力部に前記第2の起動情報が前記有効期限内に入力されたかどうかを判定し、
前記第1のソフトウェア特定情報と前記第2のソフトウェア特定情報が一致する場合、かつ、前記第2の起動情報が前記有効期限内に入力された場合は、前記認証部での認証を行わない、
請求項2記載の電子制御装置。 The storage unit stores the first software specific information, which is the software specific information acquired based on the first startup information, which is the startup information, and the expiration date, and the second input unit stores the expiration date. When the startup information of is entered,
The software specific information management unit determines whether or not the first software specific information and the second software specific information acquired from the second startup information match.
The expiration date management unit determines whether or not the second activation information has been input to the input unit within the expiration date.
If the first software specific information and the second software specific information match, and if the second activation information is input within the expiration date, the authentication unit does not perform authentication.
The electronic control device according to claim 2. 前記保存部に、前記起動情報である第1の起動情報に基づき取得された前記ソフトウェア特定情報である第1のソフトウェア特定情報、及び、前記有効期限が保存されており、前記入力部に第2の起動情報が入力された場合において、
前記ソフトウェア特定情報管理部は、前記第1のソフトウェア特定情報と前記第2の起動情報から取得した第2のソフトウェア特定情報が一致するかどうかを判定し、
前記有効期限管理部は、前記入力部に前記第2の起動情報が前記有効期限内に入力されたかどうかを判定し、
前記第1のソフトウェア特定情報と前記第2のソフトウェア特定情報が一致しない場合、又は、前記第2の起動情報が前記有効期限外に入力された場合は、前記認証部での認証を行う、
請求項2記載の電子制御装置。 The storage unit stores the first software specific information, which is the software specific information acquired based on the first startup information, which is the startup information, and the expiration date, and the second input unit stores the expiration date. When the startup information of is entered,
The software specific information management unit determines whether or not the first software specific information and the second software specific information acquired from the second startup information match.
The expiration date management unit determines whether or not the second activation information has been input to the input unit within the expiration date.
If the first software specific information and the second software specific information do not match, or if the second activation information is input outside the expiration date, the authentication unit performs authentication.
The electronic control device according to claim 2. 当該電子制御装置は移動体に搭載されている、
請求項1~7記載の電子制御装置。 The electronic control device is mounted on the moving body,
The electronic control device according to claim 1. 電子制御装置(10)で実行されるソフトウェア認証方法であって、
センサ装置(13~16)にアクセスするソフトウェアが起動したことを示す起動情報が入力され(S101,S201)、
前記起動情報から、前記ソフトウェアを特定するソフトウェア特定情報を取得し(S102,S202)、
前記ソフトウェア特定情報を保存し(S103)、
前記起動情報に基づき、前記ソフトウェアの前記センサ装置へのアクセスの認証を行い(S104,S205)、
前記ソフトウェアから出力されたアクセス要求を前記センサ装置に出力する(S106,S207)、
ソフトウェア認証方法。 It is a software authentication method executed by the electronic control device (10).
Start information indicating that the software that accesses the sensor devices (13 to 16) has started is input (S101, S201), and
Software specific information that identifies the software is acquired from the startup information (S102, S202).
Save the software specific information (S103),
Based on the activation information, the access to the sensor device of the software is authenticated (S104, S205).
The access request output from the software is output to the sensor device (S106, S207).
Software authentication method. 電子制御装置(10)で実行可能なソフトウェア認証プログラムであって、
センサ装置(13~16)にアクセスするソフトウェアが起動したことを示す起動情報が入力され(S101,S201)、
前記起動情報から、前記ソフトウェアを特定するソフトウェア特定情報を取得し(S102,S202)、
前記ソフトウェア特定情報を保存し(S103)、
前記起動情報に基づき、前記ソフトウェアの前記センサ装置へのアクセスの認証を行い(S104,S205)、
前記ソフトウェアから出力されたアクセス要求を前記センサ装置に出力する(S106,S207)、
ソフトウェア認証プログラム。 A software authentication program that can be executed by the electronic control device (10).
Start information indicating that the software that accesses the sensor devices (13 to 16) has started is input (S101, S201), and
Software specific information that identifies the software is acquired from the startup information (S102, S202).
Save the software specific information (S103),
Based on the activation information, the access to the sensor device of the software is authenticated (S104, S205).
The access request output from the software is output to the sensor device (S106, S207).
Software certification program. センサ装置(13~16)及び電子制御装置(10)から構成される電子制御システムであって、
前記電子制御装置は、
センサ装置にアクセスするソフトウェアが起動したことを示す起動情報が入力される入力部(101)と、
前記起動情報から、前記ソフトウェアを特定するソフトウェア特定情報を取得するソフトウェア特定情報管理部(102)と、
前記ソフトウェア特定情報を保存する保存部(105)と、
前記起動情報に基づき、前記ソフトウェアの前記センサ装置へのアクセスの認証を行う認証部(103)と、
前記ソフトウェアから出力されたアクセス要求を前記センサ装置に出力する出力部(106)と、を有し、
前記センサ装置は、
センサデータを取得する検知部(111)と、
前記アクセス要求を受信する受信部(112)と
前記アクセス要求に応じて前記センサデータを送信する送信部(113)と、を有する
電子制御システム(1)。


An electronic control system composed of a sensor device (13 to 16) and an electronic control device (10).
The electronic control device is
An input unit (101) into which start information indicating that the software that accesses the sensor device has started is input, and
A software specific information management unit (102) that acquires software specific information that identifies the software from the startup information, and
A storage unit (105) that stores the software specific information, and
An authentication unit (103) that authenticates access to the sensor device of the software based on the activation information, and
It has an output unit (106) that outputs an access request output from the software to the sensor device.
The sensor device is
The detector (111) that acquires sensor data and
An electronic control system (1) having a receiving unit (112) for receiving the access request and a transmitting unit (113) for transmitting the sensor data in response to the access request.
JP2020195475A 2020-11-25 2020-11-25 Electronic control device, software authentication method, software authentication program, and electronic control system Active JP7428116B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020195475A JP7428116B2 (en) 2020-11-25 2020-11-25 Electronic control device, software authentication method, software authentication program, and electronic control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020195475A JP7428116B2 (en) 2020-11-25 2020-11-25 Electronic control device, software authentication method, software authentication program, and electronic control system

Publications (2)

Publication Number Publication Date
JP2022083882A true JP2022083882A (en) 2022-06-06
JP7428116B2 JP7428116B2 (en) 2024-02-06

Family

ID=81855344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020195475A Active JP7428116B2 (en) 2020-11-25 2020-11-25 Electronic control device, software authentication method, software authentication program, and electronic control system

Country Status (1)

Country Link
JP (1) JP7428116B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006285849A (en) * 2005-04-04 2006-10-19 Xanavi Informatics Corp Navigation system
US20140196158A1 (en) * 2013-01-10 2014-07-10 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
JP2017073609A (en) * 2015-10-05 2017-04-13 任天堂株式会社 Peripheral equipment, radio communication chip, application program, information processing system, and information processing method
US20190324458A1 (en) * 2019-06-28 2019-10-24 Intel Corporation Methods and apparatus to adjust autonomous vehicle driving software using machine programming
JP2019533852A (en) * 2016-09-09 2019-11-21 センソリアント・インコーポレイテッド Software-based switch for providing products and / or services to users without compromising privacy

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006285849A (en) * 2005-04-04 2006-10-19 Xanavi Informatics Corp Navigation system
US20140196158A1 (en) * 2013-01-10 2014-07-10 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
JP2017073609A (en) * 2015-10-05 2017-04-13 任天堂株式会社 Peripheral equipment, radio communication chip, application program, information processing system, and information processing method
JP2019533852A (en) * 2016-09-09 2019-11-21 センソリアント・インコーポレイテッド Software-based switch for providing products and / or services to users without compromising privacy
US20190324458A1 (en) * 2019-06-28 2019-10-24 Intel Corporation Methods and apparatus to adjust autonomous vehicle driving software using machine programming

Also Published As

Publication number Publication date
JP7428116B2 (en) 2024-02-06

Similar Documents

Publication Publication Date Title
US11144301B2 (en) Over-the-air (OTA) update for firmware of a vehicle component
KR101861455B1 (en) Secure vehicular data management with enhanced privacy
CN112532574A (en) Vehicle data validation
KR20200115594A (en) Vehicle-mounted control unit, FPGA-based vehicle automatic driving method and device
GB2559248A (en) Authentication of mobile devices for vehicle communication
US10924277B2 (en) Certifying authenticity of stored code and code updates
US11945452B2 (en) Determination of reliability of vehicle control commands via memory test
US11070547B2 (en) Electronic control device, a communication management method performable and a non-transitory storage medium configured to restrict predetermined communication in an in-vehicle network
US20200413408A1 (en) Vehicle component usage
US20170127457A1 (en) Wireless terminal and instruction processing method thereof
US20070043951A1 (en) Safety device for electronic devices
JP2013009370A (en) Secure data store for vehicle networks
US11915027B2 (en) Security and data logging of virtual machines
JP2022083882A (en) Electronic control apparatus, software authentication method, software authentication program, and electronic control system
US20200026864A1 (en) Method for the secured access of data of a transportation vehicle
JP2017010341A (en) Accident information management system and vehicle control device
KR20220094718A (en) Autonomous driving recorder and operation method thereof
US11488404B2 (en) Session unique access token for communications with a vehicle
US20210094480A1 (en) Automotive camera unit
CN112860448A (en) System and method for access control in an electronic control unit of a vehicle
JP5332813B2 (en) Vehicle detection apparatus, abnormality determination method, program, and ETC system
KR102441057B1 (en) Apparatus and method for controlling outside mirror of vehicle
US20230319033A1 (en) Delayed biometric authorization
JP7279804B2 (en) DOOR LOCK CONTROL DEVICE, VEHICLE DEVICE, DOOR LOCK CONTROL METHOD AND PROGRAM
JP5473692B2 (en) ECU for automatic braking control, vehicle type learning method, and vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240108

R151 Written notification of patent or utility model registration

Ref document number: 7428116

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151