JP2022109024A - 車両制御システム - Google Patents

車両制御システム Download PDF

Info

Publication number
JP2022109024A
JP2022109024A JP2021004329A JP2021004329A JP2022109024A JP 2022109024 A JP2022109024 A JP 2022109024A JP 2021004329 A JP2021004329 A JP 2021004329A JP 2021004329 A JP2021004329 A JP 2021004329A JP 2022109024 A JP2022109024 A JP 2022109024A
Authority
JP
Japan
Prior art keywords
control
vehicle
special mode
common key
control server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021004329A
Other languages
English (en)
Other versions
JP7400744B2 (ja
Inventor
成章 玉樹
Nariaki Tamaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2021004329A priority Critical patent/JP7400744B2/ja
Priority to CN202111312788.6A priority patent/CN114834393B/zh
Priority to US17/521,171 priority patent/US20220219709A1/en
Publication of JP2022109024A publication Critical patent/JP2022109024A/ja
Application granted granted Critical
Publication of JP7400744B2 publication Critical patent/JP7400744B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0276Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle
    • G05D1/028Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal
    • G05D1/0282Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal generated in a local control room
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/10Fittings or systems for preventing or indicating unauthorised use or theft of vehicles actuating a signalling device
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D63/00Motor vehicles or trailers not otherwise provided for
    • B62D63/02Motor vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D63/00Motor vehicles or trailers not otherwise provided for
    • B62D63/02Motor vehicles
    • B62D63/04Component parts or accessories
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas

Abstract

【課題】限定的な領域内で車両に対して許容した特殊モードの機能を、当該車両が当該領域の外を走行する際に安全に無効化できる車両制御システムを得る。【解決手段】車両Aは、乱数生成により特殊モード制御用のMAC鍵Kを生成して制御サーバに出力すると共に、生成したMAC鍵Kをデータの完全性及び機密性を保護する機能を有したセキュアストレージに格納する。制御サーバは、車両Aが出力したMAC鍵Kを記憶すると共に、MAC鍵Kを制御信号に適用して生成したMAC値MNと制御信号とを車両Aに出力する。車両Aは、制御サーバが出力した制御信号にMAC鍵Kを適用して生成したMAC値M'Nと、制御サーバが出力したMAC値MNとが一致する場合に当該制御信号による特殊モードでの制御を実行する。制御サーバは、特殊モードでの制御を終了する際に記憶したMAC鍵Kを削除する。【選択図】図6

Description

本発明は、生産拠点等の限定的な領域のみで自動運転等の特殊モードでの運転を車両に許容する車両制御システムに関する。
工場等の限定的な領域で、自動運転等の一般道での運転と異なる特殊モードで車両を運転して、当該車両を次のラインに運ぶような運用がある。自動運転を活用することにより、個々の車両に作業員が乗り込むことを要せず、工場等における有人による煩雑な作業を回避できる。
しかしながら、自動運転等の特殊モードを運用する機能は、外部からの悪意あるハッキング等に対する脆弱性を併せ持つという問題がある。従って、出荷等により車両が工場等の限定的な領域の外を走行する場合には、特殊モードを無効化する処理を要する。特モードを無効化するには、例えば、特殊モードに係るソフトウェアを書き換える等が考えられるが、かかるソフトウェアの書き換えを行うと、型式認証の出荷検査前の状態から車両の状態が変化するので、当該車両の再検査を要するという問題があった。
特許文献1には、車両の特殊モードでの運転に係る暗号鍵の選択及び切替に関する発明が開示されている。
特開2019-140577号公報
しかしながら、特許文献1に記載の発明は、車両の出荷前に自動運転機能等の特殊モードを通信を介して無効する際に外部からハッキングされると、当該車両の自動運転の主導権を外部の介入者に奪われるおそれがあった。
本発明は、上記事実を考慮し、限定的な領域内で車両に対して許容した特殊モードの機能を、当該車両が当該領域の外を走行する際に安全に無効化できる車両制御システムを得ることを目的とする。
上記目的を達成するために請求項1に記載の車両制御システムは、車両に搭載され、前記車両を制御する車両制御部と、前記車両を、自動運転を含む特殊モードで制御するための制御信号を前記車両制御部に出力する制御サーバと、を含み、前記車両制御部は、乱数生成により特殊モード制御用の共通鍵を生成して前記制御サーバに出力すると共に、生成した前記共通鍵をデータの完全性及び機密性を保護する機能を有したセキュアストレージに格納し、前記制御サーバは、前記車両制御部が出力した前記共通鍵を記憶部に格納すると共に、前記共通鍵を前記制御信号に適用して生成した前記制御信号のメッセージ認証子と前記制御信号とを前記車両制御部に出力し、前記車両制御部は、前記制御サーバが出力した前記制御信号に前記セキュアストレージに格納した前記共通鍵を適用して生成したメッセージ認証子と、前記制御サーバが出力したメッセージ認証子とが一致する場合に前記制御信号による前記特殊モードでの制御を実行し、前記制御サーバは、前記特殊モードでの制御を終了する際に前記記憶部に格納した前記共通鍵を削除する。
特殊モードの制御に用いる共通鍵は、車両では車両内のセキュアストレージに、制御サーバではハードディスク(HDD)等のストレージに各々格納する。特殊モードでの制御が終了した後は、制御サーバ内に格納されている共通鍵を削除するので、共通鍵は車両のセキュアストレージ以外には存在しなくなり、結果として特殊モードでの制御が無効化された状態と等価となる。車両のセキュアストレージはデータの完全性及び機密性を保護する機能を有しているので、特殊モードの機能が外部からのハッキング等により悪用されることを防止できる。
また、請求項1に記載の車両制御システムによれば、車両内の制御ソフトウェアを出荷検査時から変更せず、車両が工場等の拠点内に存在する場合にメッセージ認証により特殊モードでの制御を許容することにより、車両の再度の検査を要しない。
上記目的を達成するために請求項2に記載の車両制御システムは、複数の車両の各々に搭載され、前記車両を制御する車両制御部と、前記車両を、自動運転を含む特殊モードで制御するための制御信号を前記車両制御部に出力する制御サーバと、を含み、前記制御サーバは、乱数生成により特殊モード制御用の共通鍵を生成して前記複数の車両の前記車両制御部に出力すると共に、生成した前記共通鍵を記憶部に格納し、前記複数の車両の前記車両制御部は、前記制御サーバが出力した前記共通鍵をデータの完全性及び機密性を保護する機能を有したセキュアストレージに各々格納し、前記制御サーバは、前記記憶部に格納した前記共通鍵を前記制御信号に適用して生成した前記制御信号のメッセージ認証子と前記制御信号とを前記複数の車両の車両制御部に各々出力し、前記複数の車両の車両制御部は、前記制御サーバが出力した前記制御信号に前記セキュアストレージに格納した前記共通鍵を適用して生成したメッセージ認証子と、前記制御サーバが出力したメッセージ認証子とが一致する場合に前記制御信号による前記特殊モードでの制御を各々実行し、前記制御サーバは、前記特殊モードでの制御を終了する際に前記記憶部に格納した前記共通鍵を削除する。
請求項2に記載の車両制御システムによれば、複数の車両に対して同時並行的に特殊モードでの制御を行うことができ、作業の迅速化及び作業手順の簡素化が可能となる。
また、特殊モードでの制御は、請求項3に記載の車両制御システムのように、車両が所定の拠点内に存在する場合に実行され、車両は、現在位置を測位可能な装置を備え、現在位置を制御サーバに出力し、制御サーバは、車両の現在位置が所定の拠点外となった場合に共通鍵を削除してもよい。これにより、特殊モードでの制御が危険となる領域で共通鍵を無効化できる。
また、車両制御部は、請求項4に記載の車両制御システムのように、特殊モードでの制御を要しなくなった場合に、セキュアストレージに格納した共通鍵を削除してもよい。これにより、特殊モードでの制御を完全に無効化できる。
また、車両制御部は、請求項5に記載の車両制御システムのように、車両の出荷通知がされた場合にセキュアストレージに格納した共通鍵を削除してもよい。
以上説明したように、本発明に係る車両制御システムによれば、限定的な領域内で車両に対して許容した特殊モードの機能を、当該車両が当該領域の外を走行する際に安全に無効化できる。
第1実施形態に係る車両制御システムの構成の一例を示した概略図である。 第1実施形態に係る車両の構成の一例を示したブロック図である。 第1実施形態に係る制御サーバの具体的な構成の一例を示すブロック図である。 第1実施形態に係る制御サーバのCPUの機能ブロック図である。 第1実施形態に係る車両の演算装置の機能ブロック図である。 第1実施形態における制御サーバと車両との各々における処理の一例を示したフローチャートである。 第2実施形態における制御サーバと複数の車両との各々における処理の一例を示したフローチャートである。
[第1実施形態]
以下、図1を用いて、本実施形態に係る車両制御システム100について説明する。図1に示した車両制御システム100は、車両200と、車両200と相互に通信可能に構成された制御サーバ10とを含む。制御サーバ10は、工場等の車両200の生産及び整備のための拠点に設置されたコンピュータである。
制御サーバ10は、高度な演算処理を高速で実行できるコンピュータであることが望ましく、さらに外部からの通信を遮断するファイアウォール等を備える等のセキュリティに配慮した構成であることを要する。制御サーバ10は、クラウドであれば処理負荷を分散できるが、本実施形態では、セキュリティを重視して単体のサーバであることを原則とする。
図2は、車両200の構成の一例を示したブロック図である。車両200は、演算装置14の演算に必要なデータ及び演算装置14による演算結果を記憶する記憶装置18と、制御サーバ10等から信号が入力されると共に、制御サーバ10等に対して信号を出力する入出力装置12と、入出力装置12から入力された入力データ及び記憶装置18に記憶されたデータに基づいて、特殊モードの制御信号を生成し、生成した制御信号を車両ECU(Electronic Control Unit)16に出力する演算装置14と、演算装置14から入力された特殊モードの制御信号に従って車両200を動作させる車両ECU16と、で構成されている。記憶装置18には、MAC(Message Authentication Code:メッセージ認証コード)関数による共通鍵生成、及びCMAC(Cipher-based Message Authentication Code)演算等に係るプログラムがインストールされている。演算装置14は、当該プログラムを実行することにより、MAC認証に用いる公開鍵を生成し、CMAC演算によって制御サーバ10から入力された受信データのMAC値を生成し、生成したMAC値が制御サーバ10から入力されたMAC値と一致するか否かを判定する認証を行う。メッセージ認証は、遠隔からの車両ハッキング対策としてV2X等の車両通信に用いられているが、本実施形態では、遠隔からの車両ハッキング対策用のメッセージ認証の鍵とは別の鍵を使用して、特殊モードの制御信号の認証を行う。また、記憶装置18には、データの完全性及び機密性を保護する機能を有したセキュアストレージが含まれる。演算装置14及び車両ECU16は、一体に構成されていてもよい。
図3は、本発明の実施形態に係る制御サーバ10の具体的な構成の一例を示すブロック図である。制御サーバ10は、コンピュータ40を含んで構成されている。コンピュータ40は、CPU(Central Processing Unit)42、ROM(Read Only Memory)44、RAM(Random Access Memory)46、及び入出力ポート48を備える。一例としてコンピュータ40は、高度な演算処理を高速で実行できる機種であることが望ましい。
コンピュータ40では、CPU42、ROM44、RAM46、及び入出力ポート48がアドレスバス、データバス、及び制御バス等の各種バスを介して互いに接続されている。入出力ポート48には、各種の入出力機器として、ディスプレイ50、マウス52、キーボード54、HDD56、及び各種ディスク(例えば、CD-ROMやDVD等)58から情報の読み出しを行うディスクドライブ60が各々接続されている。
また、入出力ポート48には、車両200が接続されている。制御サーバ10は、ネットワークを介して車両200に接続してもよいが、セキュリティ重視の観点から、当該ネットワークは外部とは隔絶されたイントラネットであることを要する。
コンピュータ40のHDD56には、MAC関数による共通鍵生成、及びCMAC演算等に係るプログラムがインストールされている。本実施形態では、CPU42が当該プログラムを実行することにより、MAC認証に用いる公開鍵を生成し、CMAC演算によって特殊モードに係る制御信号のMAC値を生成し、生成したMAC値を制御信号と共に車両200に出力する。また、CPU42は、当該プログラムによる処理結果をディスプレイ50に表示させる。なお、制御サーバ10においてMAC認証に用いる公開鍵を生成する場合は、第2実施形態で後述する。
本実施形態のMAC認証に係るプログラムをコンピュータ40にインストールするには、幾つかの方法があるが、例えば、当該プログラムをセットアッププログラムと共にCD-ROMやDVD等に記憶しておき、ディスクドライブ60にディスクをセットし、CPU42に対してセットアッププログラムを実行することによりHDD56に当該プログラムをインストールする。または、公衆電話回線又はネットワークを介してコンピュータ40と接続される他の情報処理機器と通信することで、HDD56に当該プログラムをインストールするようにしてもよい。
図4は、制御サーバ10のCPU42の機能ブロック図を示す。制御サーバ10のCPU42がMAC認証に係るプログラムを実行することで実現される各種機能について説明する。MAC認証に係るプログラムは、MAC関数による乱数生成により特殊モード制御用の共通鍵であるMAC鍵を生成する乱数生成機能、MAC鍵を用いて特殊モードの制御信号のメッセージ認証子であるMAC値を生成するCMAC演算機能、及び生成したMAC鍵と、CMAC演算機能によって生成したMAC値と、制御信号とを車両200に出力する出力機能を備えている。CPU42がこの各機能を有するプログラムを実行することで、CPU42は、図4に示すように、乱数生成部72、CMAC演算部74、及び出力部76として機能する。なお、CPU42における乱数生成機能と、出力機能におけるMAC鍵の出力は、後述する第2実施形態で用いられる。
図5は、車両200の演算装置14の機能ブロック図を示す。演算装置14は、MAC関数による乱数生成により特殊モード制御用の共通鍵であるMAC鍵を生成する乱数生成機能、MAC鍵を用いて特殊モードの制御信号のメッセージ認証子であるMAC値を生成するCMAC演算機能、及びCMAC演算機能によって生成したMAC値と制御サーバ10から入力されたMAC値とを比較するMAC認証を行う比較機能、及び生成したMAC鍵を制御サーバ10に出力する出力機能を備えている。CPU42がこの各機能を有するプログラムを実行することで、CPU42は、図5に示すように、乱数生成部20、CMAC演算部22、比較部24、及び出力部26として機能する。
図6は、制御サーバ10と車両200のうちの一台である車両Aとの各々における処理の一例を示したフローチャートである。図6は、車両Aにおける処理であるスレッド(1)、(3)と、制御サーバ10における処理であるスレッド(2)、(4)とを含む。
車両Aで行われるスレッド(1)では、ステップ10で、自動運転等の特殊モードを開始する。ステップ12では、特殊モード制御に用いるMAC鍵Kを乱数で生成する。特殊モードで使用するMAC鍵Kは、各々の車両で完全に乱数とすることにより、攻撃者による鍵の予想を困難にする。
ステップ14では、生成したMAC鍵Kを車両A内のセキュアストレージに格納する。セキュアストレージは、データの完全性及び機密性を保護する機能を有したストレージである。
ステップ16では、生成したMAC鍵Kを制御サーバ10に送信する。MAC鍵Kの送信は、セキュリティを担保するために原則として有線通信で行うが、通信内容の暗号化等により、セキュリティが担保されるのであれば、無線通信を用いてもよい。
制御サーバ10で行われるスレッド(2)では、ステップ18でMAC鍵KをHDD56等のストレージに格納する。本実施形態では、制御サーバ10では、MAC鍵Kを一時的に格納するのみであり、後述するように、車両Aの特殊モードでの制御を要しなくなった場合に、制御サーバ10に格納されているMAC鍵Kを削除するので、MAC鍵Kを格納するストレージは、セキュアストレージ等の、データの完全性及び機密性を保護する機能を有していなくてもよい。
ステップ20では、制御を継続するか否かを判定する。外部から制御継続の指令が入力される等により制御を継続する場合は手順をステップ22に移行し、制御を継続しない場合は手順をステップ48に移行する。
ステップ22では、特殊モード用制御信号XNが入力される。特殊モード用制御信号XNの添え字のNは、一例として、1以上の自然数であり、特殊モードが複数種類存在する場合の識別子である。特殊モード用制御信号XNは制御サーバ10のHDD56等に予め格納されていてもよいし、外部の機器から入力されてもよい。
ステップ24では、MAC鍵Kを用い、特殊モード用制御信号XNに対してブロック暗号に基づくメッセージ認証符号アルゴリズムであるCMAC演算を行う。そして、ステップ26では、MAC値MNを生成する。MAC値MNは、特殊モード制御信号XNに、専用のMAC鍵Kを用いた際に生成されるメメッセージ認証子である。
ステップ28では、特殊モード用制御信号XNと、MAC値MNとを送信データとしてセットする。そして、ステップ30では、セットした送信データを車両Aに送信する。
車両Aで行われるスレッド(3)では、ステップ32で制御サーバ10からの送信データを受信する。そして、ステップ34では、受信したデータから特殊モード用制御信号XNとMAC値MNとを抽出する。本実施形態では、制御サーバ10から送られてきた特殊モード制御信号XNに、専用のMAC鍵Kを用いた際に生成されるメッセージ認証子であるMAC値MNが付属している場合のみ、特殊モード制御信号XNの制御を行う。
ステップ36では、MAC鍵Kを用い、制御サーバ10から送られてきた特殊モード用制御信号XNに対してブロック暗号に基づくメッセージ認証符号アルゴリズムであるCMAC演算を行う。そして、ステップ38では、MAC値M'Nを生成する。
ステップ40では、制御サーバ10から送られてきたMAC値MNと、車両Aで特殊モード用制御信号XNから生成したMAC値M'Nとが一致するか否かを判定する。ステップ40で、MAC値MNとMAC値M'Nとが一致する場合は手順をステップ42に移行し、MAC値MNとMAC値M'Nとが一致しない場合は手順をステップ44に移行する。
ステップ42では、特殊モード用制御信号XNを実行して手順をステップ46に移行する。ステップ44では、特殊モード用制御信号XNを破棄して手順をステップ46に移行する。
ステップ46では、制御サーバ10からの次のデータ受信を待機して、手順をステップ20に移行する。
制御サーバ10で行われるスレッド(4)では、ステップ48で使用済みのMAC鍵Kを削除する。ステップ48では、車両Aが工場等の拠点の外に出たことをGPS(Global Positioning System)装置等の車両Aの現在位置を測位可能な装置によって検知した際に、MAC鍵Kを削除してもよい。そして、ステップ50で、特殊モードによる制御を終了する。
本実施形態では、特殊モードで使用する通信にメッセージ認証を導入している。メッセージ認証は、遠隔からの車両ハッキング対策としてV2X等の車両通信に用いられているが、本実施形態では、遠隔からの車両ハッキング対策用のメッセージ認証の鍵とは別の鍵を使用して、特殊モードの制御信号の認証を行う。
特殊モードで使用するMAC鍵Kは、各々の車両で完全に乱数とすることにより、攻撃者による鍵の予想を困難にしている。
車両は、制御サーバ10から送られてきた特殊モード制御信号XNに、専用のMAC鍵Kを用いた際に生成されるメッセージ認証子であるMAC値MNが付属している場合のみ、特殊モード制御信号XNの制御を行う。
特殊モードの制御に用いるMAC鍵Kは、車両では車両内のセキュアストレージに、制御サーバ10ではHDD56等のストレージに各々格納する。特殊モードでの制御が終了した後は、制御サーバ10内に格納されているMAC鍵Kを削除するので、MAC鍵Kは車両のセキュアストレージ以外には存在しなくなり、結果として特殊モードでの制御が無効化された状態と等価となる。車両のセキュアストレージはデータの完全性及び機密性を保護する機能を有しているので、機密漏洩のリスクは低い。しかしながら、さらに万全のセキュリティを期すために、特殊モードでの制御を要しなくなった場合に、セキュアストレージ内のMAC鍵Kを破棄するようにしてもよい。セキュアストレージ内のMAC鍵Kを破棄する場合は、例えば、外部から車両の出荷通知がされた場合等である。車両に対して出荷通知がなされた場合に演算装置14はセキュアストレージ内のMAC鍵Kを破棄する。又は、車両に対して出荷通知がなされた場合に演算装置14は、セキュアストレージ内のMAC鍵Kを破棄する指令を生成し、当該指令に基づいてセキュアストレージ内のMAC鍵Kを破棄してもよい。
また、本実施形態では、車両内の制御ソフトウェアを出荷検査時から変更せず、車両が工場等の拠点内に存在する場合にメッセージ認証により特殊モードでの制御を許容することにより、車両の再度の検査を要しない。
以上説明したように、本実施形態によれば、限定的な領域内で車両に対して許容した特殊モードの機能を、当該車両が当該領域の外を走行する際に安全に無効化できる。
[第2実施形態]
続いて、第2実施形態について説明する。本実施形態は、MAC鍵Kαを制御サーバ10で生成し、複数の車両A、Bの各々で特殊モードの制御を行う点で第1実施形態と相違する。
図7は、制御サーバ10と複数の車両A、Bとの各々における処理の一例を示したフローチャートである。図7は、制御サーバ10における処理であるスレッド(1)、(3)、(5)と車両A、Bにおける処理であるスレッド(2)、(4)と、を含む。
制御サーバ10で行われるスレッド(1)では、ステップ100で、自動運転等の特殊モードαを開始する。ステップ102では、特殊モード制御に用いるMAC鍵Kαを乱数で生成する。
ステップ104では、生成したMAC鍵Kαを制御サーバ10内のHDD56等のストレージに格納する。制御サーバ10では、使用済みのMAC鍵Kαは削除するので、MAC鍵Kαを格納する記憶装置は、セキュアストレージ等の、データの完全性及び機密性を保護する機能を有したストレージでなくてもよい。
ステップ106では、生成したMAC鍵Kαを車両A、Bの各々に送信する。MAC鍵Kαの送信は、セキュリティを担保するために原則として有線通信で行うが、通信内容の暗号化等により、セキュリティが担保されるのであれば、無線通信を用いてもよい。
車両A、Bの各々で行われるスレッド(2)では、ステップ108A、108BでMAC鍵Kαを車両A、B内のセキュアストレージに格納する。
制御サーバ10で行われるスレッド(3)では、ステップ110で、制御を継続するか否かを判定する。外部から制御継続の指令が入力される等により制御を継続する場合は手順をステップ112に移行し、制御を継続しない場合は手順をステップ138に移行する。
ステッ112では、特殊モード用制御信号XNが入力される。特殊モード用制御信号XNの添え字のNは、一例として、1以上の自然数であり、特殊モードが複数種類存在する場合の識別子である。
ステップ114では、MAC鍵Kαを用い、特殊モード用制御信号XNに対してブロック暗号に基づくメッセージ認証符号アルゴリズムであるCMAC演算を行う。そして、ステップ26では、MAC値MNを生成する。
ステップ118では、特殊モード用制御信号XNと、MAC値MNとを送信データとしてセットする。そして、ステップ120では、セットした送信データを車両A、Bの各々に送信する。
車両A、Bの各々で行われるスレッド(4)では、ステップ122A、122Bで制御サーバ10からの送信データを受信する。そして、ステップ124A、124Bでは、受信したデータから特殊モード用制御信号XNとMAC値MNとを抽出する。
ステップ126A、126Bでは、MAC鍵Kαを用い、制御サーバ10から送られてきた特殊モード用制御信号XNに対してブロック暗号に基づくメッセージ認証符号アルゴリズムであるCMAC演算を行う。そして、ステップ128A、128Bでは、MAC値M'Nを生成する。
ステップ130A、130Bでは、制御サーバ10から送られてきたMAC値MNと、車両A、Bの各々で特殊モード用制御信号XNから生成したMAC値M'Nとが一致するか否かを判定する。ステップ130A、130Bで、MAC値MNとMAC値M'Nとが一致する場合は手順をステップ132A、132Bに移行し、MAC値MNとMAC値M'Nとが一致しない場合は手順をステップ134A、134Bに移行する。
ステップ132A、132Bでは、特殊モード用制御信号XNを実行して手順をステップ136A、136Bに移行する。ステップ134A、134Bでは、特殊モード用制御信号XNを破棄して手順をステップ136A、136Bに移行する。
ステップ136A(又はステップ136B)では、制御サーバ10からの次のデータ受信を待機して、手順をステップ110に移行する。
制御サーバ10で行われるスレッド(5)では、ステップ138で使用済みのMAC鍵Kを削除する。そして、ステップ140で、特殊モードによる制御を終了する。
以上説明したように、本実施形態は、複数の車両に対して同時並行的に特殊モードでの制御を行うことができ、作業の迅速化及び作業手順の簡素化が可能となる。
特殊モードの制御に用いるMAC鍵Kαは、車両では車両内のセキュアストレージに、制御サーバ10ではHDD56等のストレージに各々格納する。特殊モードでの制御が終了した後は、制御サーバ10内に格納されているMAC鍵Kαを削除するので、MAC鍵Kαは車両のセキュアストレージ以外には存在しなくなり、結果として特殊モードでの制御が無効化された状態と等価となる。車両のセキュアストレージはデータの完全性及び機密性を保護する機能を有しているので、機密漏洩のリスクは低い。しかしながら、さらに万全のセキュリティを期すために、特殊モードでの制御を要しなくなった場合に、セキュアストレージ内のMAC鍵Kαを破棄するようにしてもよい。
なお、特許請求の範囲に記載の車両制御部は、明細書の発明の詳細な説明に記載の「演算装置14」及び「車両ECU16」に、同「共通鍵」は明細書の発明の詳細な説明に記載の「MAC鍵K」及び「MAC鍵Kα」に、同「メッセージ認証子」は明細書の発明の詳細な説明に記載の「MAC値MN」及び「MAC値M'N」に各々該当する。
なお、上記各実施形態でCPUがソフトウェア(プログラム)を読み込んで実行した処理を、CPU以外の各種のプロセッサが実行してもよい。この場合のプロセッサとしては、FPGA(Field-Programmable Gate Array)等の製造後に回路構成を変更可能なPLD(Programmable Logic Device)、及びASIC(Application Specific Integrated Circuit)等の特定の処理を実行させるために専用に設計された回路構成を有するプロセッサである専用電気回路等が例示される。また、処理を、これらの各種のプロセッサのうちの1つで実行してもよいし、同種又は異種の2つ以上のプロセッサの組み合わせ(例えば、複数のFPGA、及びCPUとFPGAとの組み合わせ等)で実行してもよい。また、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子等の回路素子を組み合わせた電気回路である。
また、上記各実施形態では、プログラムがディスクドライブ60等に予め記憶(インストール)されている態様を説明したが、これに限定されない。プログラムは、CD-ROM(Compact Disk Read Only Memory)、DVD-ROM(Digital Versatile Disk Read Only Memory)、及びUSB(Universal Serial Bus)メモリ等の非一時的(non-transitory)記憶媒体に記憶された形態で提供されてもよい。また、プログラムは、ネットワークを介して外部装置からダウンロードされる形態としてもよい。
10 制御サーバ
12 入出力装置
14 演算装置
16 車両ECU
18 記憶装置
20 乱数生成部
22 CMAC演算部
24 比較部
26 出力部
40 コンピュータ
42 CPU
44 ROM
46 RAM
48 入出力ポート
50 ディスプレイ
52 マウス
54 キーボード
72 乱数生成部
74 CMAC演算部
76 出力部
100 車両制御システム
200 車両

Claims (5)

  1. 車両に搭載され、前記車両を制御する車両制御部と、
    前記車両を、自動運転を含む特殊モードで制御するための制御信号を前記車両制御部に出力する制御サーバと、を含み、
    前記車両制御部は、乱数生成により特殊モード制御用の共通鍵を生成して前記制御サーバに出力すると共に、生成した前記共通鍵をデータの完全性及び機密性を保護する機能を有したセキュアストレージに格納し、
    前記制御サーバは、前記車両制御部が出力した前記共通鍵を記憶部に格納すると共に、前記共通鍵を前記制御信号に適用して生成した前記制御信号のメッセージ認証子と前記制御信号とを前記車両制御部に出力し、
    前記車両制御部は、前記制御サーバが出力した前記制御信号に前記セキュアストレージに格納した前記共通鍵を適用して生成したメッセージ認証子と、前記制御サーバが出力したメッセージ認証子とが一致する場合に前記制御信号による前記特殊モードでの制御を実行し、
    前記制御サーバは、前記特殊モードでの制御を終了する際に前記記憶部に格納した前記共通鍵を削除する車両制御システム。
  2. 複数の車両の各々に搭載され、前記車両を制御する車両制御部と、
    前記車両を、自動運転を含む特殊モードで制御するための制御信号を前記車両制御部に出力する制御サーバと、を含み、
    前記制御サーバは、乱数生成により特殊モード制御用の共通鍵を生成して前記複数の車両の前記車両制御部に出力すると共に、生成した前記共通鍵を記憶部に格納し、
    前記複数の車両の前記車両制御部は、前記制御サーバが出力した前記共通鍵をデータの完全性及び機密性を保護する機能を有したセキュアストレージに各々格納し、
    前記制御サーバは、前記記憶部に格納した前記共通鍵を前記制御信号に適用して生成した前記制御信号のメッセージ認証子と前記制御信号とを前記複数の車両の車両制御部に各々出力し、
    前記複数の車両の車両制御部は、前記制御サーバが出力した前記制御信号に前記セキュアストレージに格納した前記共通鍵を適用して生成したメッセージ認証子と、前記制御サーバが出力したメッセージ認証子とが一致する場合に前記制御信号による前記特殊モードでの制御を各々実行し、
    前記制御サーバは、前記特殊モードでの制御を終了する際に前記記憶部に格納した前記共通鍵を削除する車両制御システム。
  3. 前記特殊モードでの制御は、前記車両が所定の拠点内に存在する場合に実行され、
    前記車両は、現在位置を測位可能な装置を備え、前記現在位置を前記制御サーバに出力し、
    前記制御サーバは、前記車両の前記現在位置が前記所定の拠点外となった場合に前記共通鍵を削除する請求項1又は2に記載の車両制御システム。
  4. 前記車両制御部は、前記特殊モードでの制御を要しなくなった場合に、前記セキュアストレージに格納した前記共通鍵を削除する請求項1~3のいずれか1項に記載の車両制御システム。
  5. 前記車両制御部は、前記車両の出荷通知がされた場合に前記セキュアストレージに格納した前記共通鍵を削除する請求項4に記載の車両制御システム。
JP2021004329A 2021-01-14 2021-01-14 車両制御システム Active JP7400744B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021004329A JP7400744B2 (ja) 2021-01-14 2021-01-14 車両制御システム
CN202111312788.6A CN114834393B (zh) 2021-01-14 2021-11-08 车辆控制系统
US17/521,171 US20220219709A1 (en) 2021-01-14 2021-11-08 Vehicle control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021004329A JP7400744B2 (ja) 2021-01-14 2021-01-14 車両制御システム

Publications (2)

Publication Number Publication Date
JP2022109024A true JP2022109024A (ja) 2022-07-27
JP7400744B2 JP7400744B2 (ja) 2023-12-19

Family

ID=82322683

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021004329A Active JP7400744B2 (ja) 2021-01-14 2021-01-14 車両制御システム

Country Status (3)

Country Link
US (1) US20220219709A1 (ja)
JP (1) JP7400744B2 (ja)
CN (1) CN114834393B (ja)

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4220803B2 (ja) * 2003-02-20 2009-02-04 トヨタ自動車株式会社 暗号化通信方法、移動端末および移動体
JP4909668B2 (ja) * 2006-07-24 2012-04-04 Kddi株式会社 ハイブリッド暗号化装置およびハイブリッド暗号化方法
EP2541829B1 (en) * 2010-02-24 2020-04-15 Renesas Electronics Corporation Wireless communications device and authentication processing method
JP2012090231A (ja) * 2010-10-22 2012-05-10 Hagiwara Solutions Co Ltd 記憶装置及びセキュアイレース方法
FR2966626B1 (fr) * 2010-10-26 2013-04-19 Somfy Sas Procede de fonctionnement d'une unite mobile de commande d'une installation domotique.
JP5845393B2 (ja) * 2011-04-28 2016-01-20 パナソニックIpマネジメント株式会社 暗号通信装置および暗号通信システム
KR101477773B1 (ko) * 2012-12-24 2014-12-31 삼성전자주식회사 Crum 칩 및 화상형성장치와 그 인증 방법 및 통신 방법
US10211977B1 (en) * 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
GB201314231D0 (en) * 2013-08-08 2013-09-25 Harwood William T Data Comparator Store
DE102014208838A1 (de) * 2014-05-12 2015-11-12 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
FR3022053B1 (fr) * 2014-06-06 2018-02-02 Oberthur Technologies Procede d'authentification d'une premiere entite electronique par une seconde entite electronique et entite electronique mettant en œuvre un tel procede
JP6181032B2 (ja) * 2014-11-18 2017-08-16 株式会社東芝 通信システム及び通信装置
DE102015209116A1 (de) * 2015-05-19 2016-11-24 Robert Bosch Gmbh Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
JP6345157B2 (ja) * 2015-06-29 2018-06-20 クラリオン株式会社 車載情報通信システム及び認証方法
JP6197000B2 (ja) * 2015-07-03 2017-09-13 Kddi株式会社 システム、車両及びソフトウェア配布処理方法
JP6512023B2 (ja) * 2015-08-07 2019-05-15 株式会社デンソー 通信システム、送信ノード、及び受信ノード
JP6260066B2 (ja) * 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
WO2017126322A1 (ja) * 2016-01-18 2017-07-27 Kddi株式会社 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
US9923722B2 (en) * 2016-04-18 2018-03-20 GM Global Technology Operations LLC Message authentication library
CN109314640B (zh) * 2016-08-29 2021-11-12 Kddi株式会社 车辆信息收集系统、车载计算机、车辆信息收集装置、车辆信息收集方法以及记录介质
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
WO2018126076A1 (en) * 2016-12-30 2018-07-05 Intel Corporation Data packaging protocols for communications between iot devices
US20180310173A1 (en) * 2017-04-25 2018-10-25 Kabushiki Kaisha Toshiba Information processing apparatus, information processing system, and information processing method
JP6874575B2 (ja) * 2017-07-19 2021-05-19 沖電気工業株式会社 同期システム、通信装置、同期プログラム及び同期方法
DE102017222879A1 (de) * 2017-12-15 2019-06-19 Volkswagen Aktiengesellschaft Vorrichtung, Verfahr, und Computerprogramm zum Freischalten von einer Fahrzeugkomponente, Fahrzeug-zu-Fahrzeug-Kommunikationsmodul
GB2569383A (en) * 2017-12-18 2019-06-19 Airbus Operations Ltd Tyre monitoring device and method
JP2019140577A (ja) * 2018-02-13 2019-08-22 株式会社デンソー 電子制御装置及び通信システム
US10728230B2 (en) * 2018-07-05 2020-07-28 Dell Products L.P. Proximity-based authorization for encryption and decryption services
JP2020088836A (ja) * 2018-11-15 2020-06-04 Kddi株式会社 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
US11418351B2 (en) 2018-12-30 2022-08-16 Beijing Voyager Technology, Inc. Systems and methods for managing a compromised autonomous vehicle server
JP2020120235A (ja) 2019-01-23 2020-08-06 ソニー株式会社 情報処理装置、情報処理方法及び情報処理プログラム
US11233650B2 (en) * 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11019052B2 (en) 2019-03-25 2021-05-25 Uber Technologies, Inc. Vehicle integration platform (VIP) security integration
KR20200130539A (ko) * 2019-05-08 2020-11-19 삼성전자주식회사 강력한 보안 기능을 제공하는 스토리지 장치 및 그 스토리지 장치를 포함하는 전자 장치
US20190319781A1 (en) * 2019-06-27 2019-10-17 Intel Corporation Deterministic Encryption Key Rotation
CN110708388B (zh) * 2019-10-15 2022-09-23 大陆投资(中国)有限公司 用于提供安全服务的车身安全锚节点设备、方法以及网络系统
JP2021190819A (ja) * 2020-05-29 2021-12-13 三菱重工業株式会社 通信装置、通信方法及びプログラム
CN112202665B (zh) * 2020-09-30 2022-03-15 郑州信大捷安信息技术股份有限公司 一种车载安全网关及其数据通信方法

Also Published As

Publication number Publication date
CN114834393B (zh) 2023-08-04
CN114834393A (zh) 2022-08-02
JP7400744B2 (ja) 2023-12-19
US20220219709A1 (en) 2022-07-14

Similar Documents

Publication Publication Date Title
CN108363347B (zh) 用于电子控制单元的硬件安全
TWI450232B (zh) 可規劃加密裝置及加密方法
US9806883B2 (en) Secure provision of a key
JP5607546B2 (ja) 保護された動作モードの間にシステムアクセスを制御するための方法および装置
CN112784278B (zh) 一种计算机系统的可信启动方法、装置及设备
WO2010016875A2 (en) Integrated cryptographic security module for a network node
US7802069B2 (en) Method and apparatus for protecting flash memory
KR102332467B1 (ko) 로그 데이터의 무결성 보호
US10637647B2 (en) Control device including direct memory access controller for securing data and method thereof
CN111159781B (zh) 存储装置数据完整性保护方法及其控制器、片上系统
CN103500202A (zh) 一种轻量级数据库的安全保护方法及系统
US11615207B2 (en) Security processor configured to authenticate user and authorize user for user data and computing system including the same
US11018846B2 (en) Methods and apparatuses for achieving a security function, in particular in the environment of a device and/or installation controller
WO2021148461A1 (en) A system and a method for secure data transfer using air gapping hardware protocol
JP2022109024A (ja) 車両制御システム
TWI549020B (zh) 運算裝置、方法與系統
JP2020107237A (ja) 情報処理装置
WO2019069308A1 (en) SYSTEM AND METHOD FOR VALIDATION OF COMMUNICATION AUTHENTICITY IN ONBOARD NETWORKS
CN114281068A (zh) 无人设备远程接管系统、方法、装置、设备及存储介质
JP2019095969A (ja) 半導体装置、認証システム及び認証方法
US11323265B2 (en) Storage device providing high security and electronic device including the storage device
US11036846B2 (en) Control device
CN116208353A (zh) 一种校验固件的方法、装置、网卡、芯片系统及服务器
CN109583196B (zh) 一种密钥生成方法
Chan et al. Towards a blockchain framework for autonomous vehicle system integrity

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230223

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231031

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231120

R151 Written notification of patent or utility model registration

Ref document number: 7400744

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151