JP2023085958A - On-vehicle device, program, and information processing method - Google Patents

On-vehicle device, program, and information processing method Download PDF

Info

Publication number
JP2023085958A
JP2023085958A JP2021200291A JP2021200291A JP2023085958A JP 2023085958 A JP2023085958 A JP 2023085958A JP 2021200291 A JP2021200291 A JP 2021200291A JP 2021200291 A JP2021200291 A JP 2021200291A JP 2023085958 A JP2023085958 A JP 2023085958A
Authority
JP
Japan
Prior art keywords
processing unit
data
vehicle
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021200291A
Other languages
Japanese (ja)
Inventor
遼 岡田
Ryo Okada
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2021200291A priority Critical patent/JP2023085958A/en
Publication of JP2023085958A publication Critical patent/JP2023085958A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

To provide an on-vehicle device mounted on a vehicle having an on-vehicle network including a first segment in which external communication data and internal communication data flow and a second segment in which only internal communication data flows.SOLUTION: In an on-vehicle system, an on-vehicle device 3 includes: a first communication unit 321 connected to a first segment; a second communication unit 322 connected to a second segment; a first processing unit 301 that processes external communication data and internal communication data received by the first communication unit; and a second processing unit 302 that processes internal communication data received by the second communication unit. The first processing unit identifies transfer data to be transferred to the second processing unit in the external communication data or the internal communication data received by the first communication unit, generates encrypted data obtained by encrypting the identified transfer data, and transfers the generated encrypted data to the second processing unit. The second processing unit decrypts the encrypted data transferred from the first processing unit.SELECTED DRAWING: Figure 2

Description

本発明は、車載装置、プログラム及び情報処理方法に関する。 The present invention relates to an in-vehicle device, a program, and an information processing method.

従来、車両に搭載された複数の車載ECU(Electronic Control Unit)間の通信には、CANの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ECUの数が増加する傾向となるが、当該車載ECUをグループ(セグメント)に分けて車両ネットワークを構成し、同一グループとなる複数の車載ECUは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ECU間のデータの送受信は、車載中継装置(ゲートウェイ)によって中継される(例えば、特許文献1)。 Conventionally, a CAN communication protocol is widely used for communication between a plurality of in-vehicle ECUs (Electronic Control Units) mounted on a vehicle. As vehicles become more multi-functional and sophisticated, the number of on-board ECUs tends to increase. The in-vehicle ECUs are connected by a common communication line to exchange data with each other, and data transmission and reception between in-vehicle ECUs in different groups is relayed by an in-vehicle relay device (gateway) (for example, Patent Document 1).

特許文献1の車両ネットワークには、車載中継装置(ゲートウェイ)に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ(メッセージ)を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ(メッセージ)を検知したとき、車載制御装置(車載ECU)に対して警告情報(メッセージコード)を送信する。 In addition to an in-vehicle relay device (gateway), the vehicle network of Patent Document 1 includes a vehicle network monitoring device that is connected to each segment of the vehicle network and detects unauthorized data (messages) flowing through the vehicle network. When the vehicle network monitoring device detects unauthorized data (message), it transmits warning information (message code) to an on-vehicle control device (on-vehicle ECU).

特開2013-131907号公報JP 2013-131907 A

しかしながら、特許文献1の車両ネットワーク監視装置は、車外通信データが流れるセグメントと、車内通信データが流れるセグメントとの間における影響を低減する点については、考慮されていない。 However, the vehicle network monitoring device of Patent Document 1 does not take into consideration the reduction of the influence between the segment through which the communication data outside the vehicle flows and the segment through which the communication data inside the vehicle flows.

本開示は、車外通信データが流れるセグメントと、車内通信データが流れるセグメントとの間における影響を低減することができる車載装置等を提供することを目的とする。 An object of the present disclosure is to provide an in-vehicle device or the like that can reduce the influence between a segment in which external communication data flows and a segment in which in-vehicle communication data flows.

本開示の一態様に係る車載装置は、車外通信データ及び車内通信データが流れる第1セグメントと、車内通信データのみが流れる第2セグメントとを含む車載ネットワークを有する車両に搭載される車載装置であって、前記第1セグメントに接続される第1通信部と、前記第2セグメントに接続される第2通信部と、前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、前記第2通信部にて受信した車内通信データを処理する第2処理部とを備え、前記第1処理部は、前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、特定した前記転送データを暗号化した暗号データを生成し、生成した前記暗号データを前記第2処理部に転送し、前記第2処理部は、前記第1処理部から転送された前記暗号データを復号する。 An in-vehicle device according to an aspect of the present disclosure is an in-vehicle device mounted in a vehicle having an in-vehicle network including a first segment in which external communication data and in-vehicle communication data flow, and a second segment in which only in-vehicle communication data flows. a first communication unit connected to the first segment; a second communication unit connected to the second segment; 1 processing unit, and a second processing unit that processes in-vehicle communication data received by the second communication unit, wherein the first processing unit processes external communication data or in-vehicle communication received by the first communication unit In the data, specifying transfer data to be transferred to the second processing unit, generating encrypted data by encrypting the specified transfer data, transferring the generated encrypted data to the second processing unit, and transferring the generated encrypted data to the second processing unit; The processing unit decrypts the encrypted data transferred from the first processing unit.

本開示の一態様によれば、車外通信データが流れるセグメントと、車内通信データが流れるセグメントとの間における影響を低減する車載装置等を提供することができる。 According to one aspect of the present disclosure, it is possible to provide an in-vehicle device or the like that reduces the influence between a segment in which external communication data flows and a segment in which in-vehicle communication data flows.

実施形態1に係る車載システムのシステム構成を例示する模式図である。1 is a schematic diagram illustrating a system configuration of an in-vehicle system according to Embodiment 1; FIG. 車載システムに含まれ車載装置の内部構成を例示するブロック図である。2 is a block diagram illustrating an internal configuration of an in-vehicle device included in the in-vehicle system; FIG. 車載装置の第1処理部及び第2処理部の処理を例示するフローチャートである。5 is a flowchart illustrating processing of a first processing unit and a second processing unit of an in-vehicle device; 実施形態2(復旧プログラム)に係る車載装置の第1処理部及び第2処理部の処理を例示するフローチャートである。10 is a flowchart illustrating processes of the first processing unit and the second processing unit of the in-vehicle device according to the second embodiment (recovery program);

[本開示の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。 [Description of Embodiments of the Present Disclosure]
First, embodiments of the present disclosure are enumerated and described. Moreover, at least part of the embodiments described below may be combined arbitrarily.

(1)本開示の一態様に係る車載装置は、車外通信データ及び車内通信データが流れる第1セグメントと、車内通信データのみが流れる第2セグメントとを含む車載ネットワークを有する車両に搭載される車載装置であって、前記第1セグメントに接続される第1通信部と、前記第2セグメントに接続される第2通信部と、前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、前記第2通信部にて受信した車内通信データを処理する第2処理部とを備え、前記第1処理部は、前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、特定した前記転送データを暗号化した暗号データを生成し、生成した前記暗号データを前記第2処理部に転送し、前記第2処理部は、前記第1処理部から転送された前記暗号データを復号する。 (1) An in-vehicle device according to an aspect of the present disclosure is an in-vehicle device mounted in a vehicle having an in-vehicle network including a first segment in which external communication data and in-vehicle communication data flow, and a second segment in which only in-vehicle communication data flows. A device comprising: a first communication unit connected to the first segment; a second communication unit connected to the second segment; and external communication data and internal communication data received by the first communication unit a first processing unit for processing; and a second processing unit for processing in-vehicle communication data received by the second communication unit, wherein the first processing unit processes external communication data received by the first communication unit. or identifying transfer data to be transferred to the second processing unit in the in-vehicle communication data, generating encrypted data by encrypting the identified transfer data, and transferring the generated encrypted data to the second processing unit; The second processing section decrypts the encrypted data transferred from the first processing section.

本態様にあたっては、車載装置は、第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、第2通信部にて受信した車内通信データを処理する処理する第2処理部とを備える。これにより、車外通信データが流れる第1セグメントと、車外通信データが流れず、車内通信データのみが流れる第2セグメントとを分離させて、第1処理部及び第2処理部それぞれによる処理を行うことができる。第1セグメントに接続される第1通信部を介して車載装置が受信したデータ(車外通信データ及び車内通信データ)のうち、第2処理部が取得(受信)するデータは、全て、第1処理部によって暗号化された後、当該第1処理部から第2処理部に転送(送信)される。第1処理部は第1通信部を介して車外通信データを処理するところ、当該車外通信データが不正なデータを含み、当該不正なデータによって第1処理部が異常となった場合、第1処理部による暗号化も正常に行われないものとなり、第2処理部による復号も不可となる。第2処理部は、第1処理部から転送されたデータの復号が失敗した際は、当該復号に失敗したデータに対する処理を行わないものとなるため、第1処理部から転送されたデータに不正なデータが含まれる場合であっても、当該不正なデータによる影響を回避することができる。従って、第2処理部が第2通信部を介して車内通信データを送受信する第2セグメントと、車外通信データが流れる第1セグメントとを、第1処理部及び第2通信部とによる暗号化通信によって分離することができ、第1セグメントに車外からの不正なデータが流れた場合であっても、当該不正なデータによって、第2セグメントに悪影響が生じることを効率的に低減又は防止することができる。なお、このように第1セグメント及び第2セグメントとの分離(ゾーン分離)を図るにあたり、車載装置にイーサスイッチ(イーサSW)等の中継装置を内包又は接続させ、当該イーサSWによるゾーン分離を行うことも考えられるが、本態様の車載装置を用いることにより、当該イーサSWを不要とし、製品コストを低減することができる。 In this aspect, the in-vehicle device includes a first processing unit that processes the external communication data and the internal communication data received by the first communication unit, and a second processing unit that processes the internal communication data received by the second communication unit. 2 processing units. Thus, the first segment in which the external communication data flows and the second segment in which the external communication data does not flow and only the in-vehicle communication data flows are separated, and the first processing unit and the second processing unit perform processing respectively. can be done. Of the data received by the in-vehicle device via the first communication unit connected to the first segment (external communication data and internal communication data), all data acquired (received) by the second processing unit are processed by the first processing. After being encrypted by the unit, it is transferred (transmitted) from the first processing unit to the second processing unit. The first processing unit processes external communication data via the first communication unit, and when the external communication data includes unauthorized data and the first processing unit becomes abnormal due to the unauthorized data, the first processing unit The encryption by the unit will not be performed normally, and the decryption by the second processing unit will also be impossible. When the decoding of the data transferred from the first processing unit fails, the second processing unit does not process the data for which the decoding has failed. Even if the data contains illegal data, the influence of the illegal data can be avoided. Therefore, the second segment in which the second processing unit transmits/receives the in-vehicle communication data via the second communication unit and the first segment in which the external communication data flows are encrypted by the first processing unit and the second communication unit. Even if unauthorized data from outside the vehicle flows into the first segment, it is possible to efficiently reduce or prevent the second segment from being adversely affected by the unauthorized data. can. In order to achieve separation (zone separation) between the first segment and the second segment in this way, a relay device such as an Ethernet switch (Ether SW) is included in or connected to the in-vehicle device, and zone separation is performed by the Ethernet SW. However, by using the in-vehicle device of this aspect, the Ethernet SW can be eliminated and the product cost can be reduced.

(2)本開示の一態様に係る車載装置は、前記車外通信データは、前記車両外に位置する外部装置から送信されるデータを含み、前記車内通信データは、前記車両内にて送受信されるデータであって、前記車両の制御に用いられるデータを含む。 (2) In the vehicle-mounted device according to an aspect of the present disclosure, the vehicle-external communication data includes data transmitted from an external device located outside the vehicle, and the vehicle-internal communication data is transmitted and received within the vehicle. Data, including data used to control the vehicle.

本態様にあたっては、車外通信データは、車両外に位置する外部サーバ、携帯端末、又はスマートキー等の外部装置から送信されるデータを含むものであり、従って、これら外部装置に成りすました不正な装置から不正なデータが車両に送信された場合であっても、第2セグメントに悪影響が生じることを効率的に低減又は防止することができる。 In this aspect, the external communication data includes data transmitted from an external device such as an external server located outside the vehicle, a mobile terminal, or a smart key. Even if incorrect data is transmitted to the vehicle from the second segment, it is possible to efficiently reduce or prevent the occurrence of adverse effects on the second segment.

(3)本開示の一態様に係る車載装置は、前記第1処理部及び前記第2処理部からアクセス可能な共有記憶部を備え、前記第1処理部から前記第2処理部への前記暗号データの転送は、前記共有記憶部を介して行われる。 (3) An in-vehicle device according to an aspect of the present disclosure includes a shared storage unit accessible from the first processing unit and the second processing unit, and the encryption from the first processing unit to the second processing unit Data transfer is performed via the shared storage unit.

本態様にあたっては、車載装置は、第1処理部及び第2処理部からアクセス可能な共有記憶部を備え、これら第1処理部及び第2処理部は、当該共有記憶部に対し、例えば、物理アドレスを用いてアクセスすることにより、第1処理部から第2処理部への暗号データの転送が行われる。これにより、第1処理部及び第2処理部それぞれにて独立して動くプログラムによるプロセスそれぞれは、共有記憶部において、予め定められた物理アドレスの番号(アドレス番地)により、暗号データの書き込み(第1処理部による書出処理)及び読み出し(第2処理部による参照処理)を効率的に行うことができる。 In this aspect, the in-vehicle device includes a shared storage unit accessible from the first processing unit and the second processing unit. Encrypted data is transferred from the first processing unit to the second processing unit by accessing using the address. As a result, each process by a program that runs independently in each of the first processing unit and the second processing unit writes encrypted data (first writing processing by the first processing unit) and reading (reference processing by the second processing unit) can be efficiently performed.

(4)本開示の一態様に係る車載装置は、前記第1処理部のみからアクセス可能な第1記憶部と、前記第2処理部のみからアクセス可能な第2記憶部とを備え、前記第1処理部は、前記第1記憶部をワーク領域として用いて、前記転送データを暗号化する処理を行い、前記第2処理部は、前記第2記憶部をワーク領域として用いて、前記暗号データを復号する処理を行う。 (4) An in-vehicle device according to an aspect of the present disclosure includes a first storage unit accessible only from the first processing unit and a second storage unit accessible only from the second processing unit, The first processing unit uses the first storage unit as a work area to encrypt the transfer data, and the second processing unit uses the second storage unit as a work area to encrypt the encrypted data. process to decrypt the

本態様にあたっては、第1処理部は、自部からのみからアクセス可能な第1記憶部をワーク領域として用いて暗号化する処理を行い、第2処理部は、自部からのみからアクセス可能な第2記憶部をワーク領域として用いて復号する処理を行うことにより、暗号化処理に用いるワーク領域と、復号処理に用いるワーク領域とを、物理的に異なる記憶領域とすることができる。これにより、第1処理部と第2処理部との間の相互依存性又は処理連関性を低減させることができ、第1セグメントに流れる不正データによって第1処理部が異常となった場合であっても、第2処理部へ悪影響が及ぶことを更に低減することができる。 In this aspect, the first processing unit performs encryption using the first storage unit accessible only from itself as a work area, and the second processing unit performs encryption processing accessible only from itself. By performing the decryption process using the second storage unit as a work area, the work area used for the encryption process and the work area used for the decryption process can be physically different storage areas. As a result, it is possible to reduce interdependence or process correlation between the first processing unit and the second processing unit, and even if the first processing unit becomes abnormal due to unauthorized data flowing in the first segment, However, it is possible to further reduce the adverse effect on the second processing section.

(5)本開示の一態様に係る車載装置は、前記第2処理部は、前記暗号データの復号の成否を判定し、前記暗号データの復号が成功した場合、復号した前記転送データを前記第2通信部から送信し、前記暗号データの復号が失敗した場合、前記第1処理部から転送される前記暗号データを破棄する。 (5) In the in-vehicle device according to an aspect of the present disclosure, the second processing unit determines whether the decryption of the encrypted data succeeds or fails, and if the decryption of the encrypted data succeeds, transfers the decrypted transfer data to the 2. When the encryption data is transmitted from the second communication unit and the decryption of the encryption data fails, the encryption data transferred from the first processing unit is discarded.

本態様にあたっては、第1処理部及び第2処理部による暗号化及び復号は、例えば第1記憶部及び第2記憶部に予め記憶されているRSA(Rivest-Shamir-Adleman cryptosystem)方式等の公開鍵及び秘密鍵、又はAES(Advanced Encryption Standard)方式等の共通鍵等の暗号鍵を用いて行われる。第2処理部は、このように予め定められた(用意された)暗号鍵を用いて、暗号データの復号を試みた場合、例えば、復号処理の返値(戻り値)に基づき、当該復号の正否(成功:1、失敗:0)を判定することができる。第2処理部は、暗号データの復号が失敗したと判定した場合、第1処理部は異常であると判断し、第1処理部から転送される暗号データを破棄するため、当該第1処理部から不正なデータが転送(送信)された場合であっても、当該不正なデータによる影響を回避することができる。これにより、第2処理部は、第1セグメントに流れる不正なデータによって異常になることを回避し、正常な状態を維持することができ、第2通信部に接続される第2セグメントに、当該不正なデータが流れることを抑制又は防止することができる。 In this aspect, the encryption and decryption by the first processing unit and the second processing unit are performed by a public encryption method such as RSA (Rivest-Shamir-Adleman cryptosystem) stored in advance in the first storage unit and the second storage unit. This is performed using a key and a private key, or an encryption key such as a common key such as the AES (Advanced Encryption Standard) method. When attempting to decrypt encrypted data using such a predetermined (prepared) encryption key, the second processing unit, for example, based on the return value (return value) of the decryption process, Success or failure (success: 1, failure: 0) can be determined. If the second processing unit determines that the decryption of the encrypted data has failed, it determines that the first processing unit is abnormal, and discards the encrypted data transferred from the first processing unit. Even if unauthorized data is transferred (sent) from the device, the influence of the unauthorized data can be avoided. As a result, the second processing unit can avoid becoming abnormal due to unauthorized data flowing in the first segment, maintain a normal state, and transmit the relevant data to the second segment connected to the second communication unit. It is possible to suppress or prevent the flow of unauthorized data.

(6)本開示の一態様に係る車載装置は、前記第2処理部は、前記暗号データの復号が失敗した場合、前記第1処理部を復旧させるための復旧プログラムを前記第1処理部に実行させる。 (6) In the in-vehicle device according to an aspect of the present disclosure, the second processing unit transmits a recovery program for restoring the first processing unit to the first processing unit when decryption of the encrypted data fails. let it run.

本態様にあたっては、第2処理部は、暗号データの復号が失敗したと判定した場合、第1処理部は異常であると判断し、例えば、第2処理部からのみアクセス可能な第2記憶部に予め記憶されている復旧プログラムを、共有記憶部の所定の物理アドレス番地の領域に書き込む。第2処理部は、更に、第1処理部に対し、例えば、強制的な再起動を行わせるリセットシグナルをプロセス間通信にて送信することにより、第1処理部を強制的に再起動させ、共有記憶部に書き込んだ復旧プログラムを第1処理部に実行させる。当該復旧プログラムは、第1処理部を復旧させるためのプログラムであり、例えば、第1処理部が正常時に実行していたプログラムのバックアップ、又は、当該第1処理部をセーフモードで実行するための簡易プログラムである。これにより、第1セグメントに流れる不正なデータによって異常となった第1処理部を、正常状態に復旧(復帰)させることができる。 In this aspect, when the second processing unit determines that the decryption of the encrypted data has failed, it determines that the first processing unit is abnormal. writes a recovery program stored in advance in the area of a predetermined physical address in the shared storage unit. The second processing unit further forcibly restarts the first processing unit by sending, for example, a reset signal for forcibly restarting the first processing unit through inter-process communication, The first processing unit is caused to execute the restoration program written in the shared storage unit. The recovery program is a program for recovering the first processing unit, for example, a backup of a program that the first processing unit was executing normally, or a simple program for running the first processing unit in safe mode. It's a program. As a result, the first processing unit that has become abnormal due to the unauthorized data flowing in the first segment can be restored (restored) to a normal state.

(7)本開示の一態様に係る情報処理方法は、車外通信データ及び車内通信データが流れる第1セグメントに接続される第1通信部と、車内通信データのみが流れる第2セグメントに接続される第2通信部と、前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、前記第2通信部にて受信した車内通信データを処理する第2処理部とを備えるコンピュータに、前記第1処理部にて、前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、特定した前記転送データを暗号化した暗号データを生成し、生成した前記暗号データを前記第2処理部に転送し、前記第2処理部にて、前記第1処理部から転送された前記暗号データを復号する。 (7) An information processing method according to an aspect of the present disclosure includes a first communication unit connected to a first segment through which external communication data and in-vehicle communication data flow, and a second segment connected to a second segment through which only in-vehicle communication data flows. a second communication unit, a first processing unit that processes external communication data and internal communication data received by the first communication unit, and a second processing unit that processes internal communication data received by the second communication unit in the first processing unit, in the external communication data or the internal communication data received by the first communication unit, the transfer data to be transferred to the second processing unit is specified, and the specified transfer Encrypted data is generated to generate encrypted data, the generated encrypted data is transferred to the second processing section, and the encrypted data transferred from the first processing section is decrypted in the second processing section.

本態様にあたっては、コンピュータを車外通信データが流れるセグメントと、車内通信データが流れるセグメントとの間における影響を低減する車載装置として機能させる情報処理方法を提供することができる。 In this aspect, it is possible to provide an information processing method that causes a computer to function as an in-vehicle device that reduces the influence between a segment in which external communication data flows and a segment in which in-vehicle communication data flows.

(8)本開示の一態様に係るプログラムは、車外通信データ及び車内通信データが流れる第1セグメントに接続される第1通信部と、車内通信データのみが流れる第2セグメントに接続される第2通信部と、前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、前記第2通信部にて受信した車内通信データを処理する第2処理部とを備えるコンピュータに、前記第1処理部にて、前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、特定した前記転送データを暗号化した暗号データを生成し、生成した前記暗号データを前記第2処理部に転送し、前記第2処理部にて、前記第1処理部から転送された前記暗号データを復号する。 (8) A program according to an aspect of the present disclosure includes a first communication unit connected to a first segment through which external communication data and in-vehicle communication data flow, and a second communication unit connected to a second segment through which only in-vehicle communication data flows. a communication unit, a first processing unit that processes external communication data and internal communication data received by the first communication unit, and a second processing unit that processes internal communication data received by the second communication unit; In the computer provided, the first processing unit specifies transfer data to be transferred to the second processing unit in the vehicle external communication data or the vehicle internal communication data received by the first communication unit, and transfers the specified transfer data to the second processing unit. Encrypted encrypted data is generated, the generated encrypted data is transferred to the second processing section, and the encrypted data transferred from the first processing section is decrypted in the second processing section.

本態様にあたっては、コンピュータを車外通信データが流れるセグメントと、車内通信データが流れるセグメントとの間における影響を低減する車載装置として機能させるプログラム提供することができる。 In this aspect, it is possible to provide a program that causes a computer to function as an in-vehicle device that reduces the influence between a segment in which external communication data flows and a segment in which in-vehicle communication data flows.

[本開示の実施形態の詳細]
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載システムSを、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。 [Details of the embodiment of the present disclosure]
The present disclosure will be specifically described based on the drawings showing the embodiments thereof. An in-vehicle system S according to an embodiment of the present disclosure will be described below with reference to the drawings. The present disclosure is not limited to these examples, but is indicated by the scope of the claims, and is intended to include all modifications within the scope and meaning equivalent to the scope of the claims.

(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る車載システムSのシステム構成を例示する模式図である。図2は、車載システムSに含まれ車載装置3の内部構成を例示するブロック図である。車載システムSは、車両Cに搭載される統合ECU2、単一又は複数の車載装置3、及び当該車載装置3に接続される車載ECU4を含む。当該車載ECU4には、例えばアクチュエータ、センサ等の車載器が、直接接続される。 (Embodiment 1)
Embodiments will be described below with reference to the drawings. FIG. 1 is a schematic diagram illustrating the system configuration of an in-vehicle system S according to the first embodiment. FIG. 2 is a block diagram illustrating the internal configuration of the in-vehicle device 3 included in the in-vehicle system S. As shown in FIG. The in-vehicle system S includes an integrated ECU 2 mounted in the vehicle C, a single or multiple in-vehicle device 3 , and an in-vehicle ECU 4 connected to the in-vehicle device 3 . Vehicle-mounted devices such as actuators and sensors are directly connected to the vehicle-mounted ECU 4 .

統合ECU2と車載装置3とは、例えば、イーサネットケーブル等にて構成される第1セグメント51によって接続される。車載装置3と車載ECU4とは、例えばCANバス等にて構成される第2セグメント52によって接続される。これら第1セグメント51及び第2セグメント52により、車載ネットワーク5が構成される。すなわち、当該車載ネットワーク5において、セグメントとは、ネットワークにおける物理的又は論理的な部位(エリア)等を示すゾーン又はドメインを意味する。 The integrated ECU 2 and the in-vehicle device 3 are connected by a first segment 51 configured by an Ethernet cable or the like, for example. The in-vehicle device 3 and the in-vehicle ECU 4 are connected by a second segment 52 configured by, for example, a CAN bus. The in-vehicle network 5 is configured by the first segment 51 and the second segment 52 . That is, in the in-vehicle network 5, a segment means a zone or domain indicating a physical or logical part (area) or the like in the network.

統合ECU2には、外部ネットワークを介して通信するための車外通信装置1が接続される。統合ECU2は、車外通信装置1及び外部ネットワークを介して、外部サーバ100又は携帯端末等と通信する。又、統合ECU2は、LFアンテナ及びRFアンテナと接続され、スマートキーから発信された信号を受信するものであってもよい。統合ECU2は、これら外部サーバ100、携帯端末及びスマートキー等の外部装置から送信されたデータを取得(受信)し、自ECUに備えられる通信部を介して、当該データ又は当該データに基づき生成した制御データ等を、第1セグメント51を介して車載装置3に出力(送信)する。 The integrated ECU 2 is connected with an external communication device 1 for communicating via an external network. The integrated ECU 2 communicates with an external server 100, a mobile terminal, or the like via the external communication device 1 and an external network. Also, the integrated ECU 2 may be connected to the LF antenna and the RF antenna to receive signals transmitted from the smart key. The integrated ECU 2 acquires (receives) data transmitted from external devices such as the external server 100, a mobile terminal, and a smart key, and generates the data or data based on the data via a communication unit provided in the own ECU. It outputs (transmits) control data and the like to the in-vehicle device 3 via the first segment 51 .

従って、第1セグメント51には、車両C外に位置する外部装置から送信されるデータ、又は当該データに基づき統合ECU2が生成したデータが流れるものとなる。又、統合ECU2と車載装置3、又は車載装置3同士は、車両Cの制御に用いられるデータ(車内通信データ)についても、第1セグメント51を介して送受信する。当該車内通信データは、例えば、車載装置3によって、第2セグメント52に接続される車載ECU4に中継されるデータであり、車両C内において送受信されるデータである。すなわち、第1セグメント51には、車両C外に位置する外部装置から送信されるデータ等の車外通信データ、及び車内通信データが、流れるものとなる。 Therefore, data transmitted from an external device located outside the vehicle C or data generated by the integrated ECU 2 based on the data flows through the first segment 51 . In addition, the integrated ECU 2 and the in-vehicle device 3 or each other in-vehicle devices 3 transmit and receive data (in-vehicle communication data) used for controlling the vehicle C via the first segment 51 . The in-vehicle communication data is, for example, data relayed by the in-vehicle device 3 to the in-vehicle ECU 4 connected to the second segment 52, and is data transmitted and received within the vehicle C. FIG. That is, through the first segment 51, vehicle-external communication data, such as data transmitted from an external device located outside the vehicle C, and vehicle-internal communication data flow.

これに対し、第2セグメント52には、統合ECU2のような車両C外に位置する外部装置と直接通信するECUは接続されず、従って、第2セグメント52には、車内通信データのみが流れ、車外通信データは流れない。当該第2セグメント52に接続される車載装置3と車載ECU4とは、車内通信データを送受信することにより、当該車載ECU4それぞれに直接接続されるアクチュエータ、センサ等の車載器が制御される。又は、車載装置3に、これらアクチュエータ、センサ等の車載器が直接接続され、車載装置3がこれら車載器を制御するものであってもよい。 On the other hand, the second segment 52 is not connected to an ECU that directly communicates with an external device located outside the vehicle C, such as the integrated ECU 2. Therefore, only in-vehicle communication data flows through the second segment 52. External communication data does not flow. The in-vehicle device 3 and the in-vehicle ECU 4 connected to the second segment 52 transmit and receive in-vehicle communication data, thereby controlling the in-vehicle devices such as actuators and sensors directly connected to the respective in-vehicle ECU 4 . Alternatively, the vehicle-mounted devices such as these actuators and sensors may be directly connected to the vehicle-mounted device 3, and the vehicle-mounted device 3 may control these vehicle-mounted devices.

上述のとおり、車載ネットワーク5は、車外通信データ及び車内通信データが流れる第1セグメント51と、車外通信データが流れず、車内通信データのみが流れる第2セグメント52とを含み、車載装置3は、これら第1セグメント51及び第2セグメント52に接続される。詳細は後述するが、車載装置3は、第1セグメント51と第2セグメント52との間にてデータを中継する中継装置として機能する共に、第1セグメント51において異常等が発生した場合、第1セグメント51と第2セグメント52とを論理的に分離する分離装置として機能する。これにより、第1セグメント51にて発生した異常が、第2セグメント52に影響することを防止することができる。 As described above, the in-vehicle network 5 includes the first segment 51 through which the external communication data and the in-vehicle communication data flow, and the second segment 52 through which only the in-vehicle communication data flows without the external communication data. It is connected to these first segment 51 and second segment 52 . Although details will be described later, the in-vehicle device 3 functions as a relay device that relays data between the first segment 51 and the second segment 52, and if an abnormality or the like occurs in the first segment 51, the first It functions as a separation device that logically separates the segment 51 and the second segment 52 . As a result, an abnormality occurring in the first segment 51 can be prevented from affecting the second segment 52 .

外部サーバ100は、例えばインターネット又は公衆回線網等の車外ネットワークに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部を備える。統合ECU2は、車外通信装置1と通信可能に接続され、車外通信装置1を介して車外ネットワークを介して接続された外部サーバ100と通信し、外部サーバ100と、車両Cに搭載される車載装置3との間の通信を中継するものであってもよい。 The external server 100 is a computer such as a server connected to a network outside the vehicle such as the Internet or a public network, and has a storage unit such as a RAM (Random Access Memory), a ROM (Read Only Memory), or a hard disk. The integrated ECU 2 is communicably connected to the external communication device 1, communicates with an external server 100 connected via the external network via the external communication device 1, and communicates with the external server 100 and the in-vehicle device mounted on the vehicle C. 3 may relay communication between them.

車外通信装置1は、車外通信部(図示せず)及び、統合ECU2と通信するための入出力I/F(図示せず)を含む。車外通信部は、4G、LTE(Long Term Evolution/登録商標)、5G、WiFi(登録商標)等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部に接続されたアンテナ11を介して外部サーバ100とデータの送受信を行う。車外通信装置1と外部サーバ100との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。入出力I/Fは、統合ECU2と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と統合ECU2とは、入出力I/F及び入出力I/Fに接続されたシリアルケーブル等のワイヤーハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、統合ECU2と別装置とし、入出力I/F等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、統合ECU2の一構成部位として、統合ECU2に内蔵されるものであってもよい。 The vehicle-external communication device 1 includes a vehicle-external communication unit (not shown) and an input/output I/F (not shown) for communicating with the integrated ECU 2 . The external communication unit is a communication device for wireless communication using mobile communication protocols such as 4G, LTE (Long Term Evolution/registered trademark), 5G, and WiFi (registered trademark), and is connected to the external communication unit. Data is transmitted/received to/from the external server 100 via the antenna 11 . Communication between the external communication device 1 and the external server 100 is performed via an external network such as a public network or the Internet, for example. The input/output I/F is a communication interface for serial communication with the integrated ECU 2, for example. The external communication device 1 and the integrated ECU 2 communicate with each other via an input/output I/F and a wire harness such as a serial cable connected to the input/output I/F. In the present embodiment, the external communication device 1 is separate from the integrated ECU 2, and these devices are communicably connected via an input/output I/F or the like, but the present invention is not limited to this. The external communication device 1 may be built in the integrated ECU 2 as one component of the integrated ECU 2 .

統合ECU2は、後述する車載装置3と同様に制御部、記憶部、入出力I/F及び通信部を含み、例えばヴィークルコンピュータ等の中央制御装置である。統合ECU2は、車両C外に位置する外部サーバ100、携帯端末又はスマートキー等の外部装置から送信されるデータ(車外通信データ)、及び車載装置3から送信されるデータ(車内通信データ)に基づき、車両C全体を制御するための制御データ等を生成し、第1セグメント51に接続される車載装置3に出力(送信)する。 The integrated ECU 2 includes a control unit, a storage unit, an input/output I/F, and a communication unit like the in-vehicle device 3 to be described later, and is a central control unit such as a vehicle computer, for example. The integrated ECU 2 is based on data (external communication data) transmitted from an external device such as an external server 100 located outside the vehicle C, a mobile terminal or a smart key, and data transmitted from the in-vehicle device 3 (in-vehicle communication data). , generates control data and the like for controlling the entire vehicle C, and outputs (transmits) it to the in-vehicle device 3 connected to the first segment 51 .

車載装置3は、第1処理部301、第2処理部302、共有記憶部310、第1記憶部311、第2記憶部312、第1通信部321、及び第2通信部322を含み、これら部位は内部バス33によって接続されている。車載装置3は、暗号化及び復号(復号化)を行うHSM(Hardware Security Module)を備えるものであってもよい。 The in-vehicle device 3 includes a first processing unit 301, a second processing unit 302, a shared storage unit 310, a first storage unit 311, a second storage unit 312, a first communication unit 321, and a second communication unit 322. The parts are connected by an internal bus 33 . The in-vehicle device 3 may include an HSM (Hardware Security Module) that performs encryption and decryption (decryption).

車載装置3が備える処理部(制御部)は、第1処理部301及び第2処理部302からなる2つの処理部(制御部)により構成される。第1処理部301及び第2処理部302は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部に予め記憶されたプログラムP(プログラム製品)及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。第1処理部301及び第2処理部302は、2つのCPUから成るマルチCPU構成、又は複数のコアを備える単一のCPUからなるマルチコア構成によるものであってもよい。 A processing unit (control unit) included in the in-vehicle device 3 is composed of two processing units (control unit) including a first processing unit 301 and a second processing unit 302 . The first processing unit 301 and the second processing unit 302 are configured by a CPU (Central Processing Unit) or MPU (Micro Processing Unit) or the like, and read programs P (program products) and data stored in the storage unit in advance. Various control processing, arithmetic processing, and the like are performed by executing the program. The first processing unit 301 and the second processing unit 302 may have a multi-CPU configuration with two CPUs or a multi-core configuration with a single CPU having multiple cores.

車載装置3が備える記憶部(記憶領域)は、共有記憶部310、第1記憶部311、及び第2記憶部312からなる3つの記憶部(記憶領域)により構成される。記憶部(共有記憶部310、第1記憶部311、及び第2記憶部312)は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、プログラムP(プログラム製品)及び処理時に参照するデータが予め記憶してある。記憶部61に記憶されたプログラムP(プログラム製品)は、統合ECU2が読み取り可能な記録媒体から読み出されたプログラムP(プログラム製品)を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータからプログラムP(プログラム製品)をダウンロードし、記憶部61に記憶させたものであってもよい。 The storage unit (storage area) included in the in-vehicle device 3 is composed of three storage units (storage areas) including a shared storage unit 310 , a first storage unit 311 and a second storage unit 312 . Storage units (shared storage unit 310, first storage unit 311, and second storage unit 312) are volatile memory devices such as RAM (Random Access Memory), ROM (Read Only Memory), EEPROM (Electrically Erasable Programmable ROM) or a non-volatile memory device such as a flash memory, in which a program P (program product) and data to be referred to during processing are stored in advance. The program P (program product) stored in the storage unit 61 may be a program P (program product) read from a recording medium readable by the integrated ECU 2 . Alternatively, the program P (program product) may be downloaded from an external computer (not shown) connected to a communication network (not shown) and stored in the storage unit 61 .

共有記憶部310は、内部バス33による第1処理部301及び第2処理部302と通信可能に接続される。これにより、共有記憶部310は、第1処理部301及び第2処理部302の双方からアクセス可能となる共有メモリとして機能する。 The shared storage unit 310 is communicably connected to the first processing unit 301 and the second processing unit 302 via the internal bus 33 . Thereby, the shared storage unit 310 functions as a shared memory that can be accessed from both the first processing unit 301 and the second processing unit 302 .

第1記憶部311は、第1処理部301とのみ、内部バス33により通信可能に接続される。これにより、第1記憶部311は、第1処理部301からのみアクセス可能な個別メモリ(第1処理部301の専用メモリ)として機能する。第1記憶部311には、第1処理部301が実行するプログラムP(プログラム製品)が記憶されている。 The first storage unit 311 is communicably connected only to the first processing unit 301 via the internal bus 33 . As a result, the first storage unit 311 functions as an individual memory accessible only from the first processing unit 301 (dedicated memory for the first processing unit 301). A program P (program product) executed by the first processing unit 301 is stored in the first storage unit 311 .

第2記憶部312は、第2処理部302とのみ、内部バス33により通信可能に接続される。これにより、第2記憶部312は、第2処理部302からのみアクセス可能な個別メモリ(第2処理部302の専用メモリ)として機能する。第2記憶部312には、第2処理部302が実行するプログラムP(プログラム製品)が記憶されている。 The second storage unit 312 is communicably connected only to the second processing unit 302 via the internal bus 33 . Thereby, the second storage unit 312 functions as an individual memory (dedicated memory for the second processing unit 302) accessible only from the second processing unit 302. FIG. A program P (program product) executed by the second processing unit 302 is stored in the second storage unit 312 .

第1記憶部311及び第2記憶部312には、第1処理部301及び第2処理部302による暗号化及び復号(復号化)を行うための暗号鍵が記憶されている。当該暗号鍵は、例えば、RSA(Rivest-Shamir-Adleman cryptosystem)方式等の公開鍵及び秘密鍵、又はAES(Advanced Encryption Standard)方式等の共通鍵等を含む。 The first storage unit 311 and the second storage unit 312 store encryption keys for encryption and decryption (decryption) by the first processing unit 301 and the second processing unit 302 . The encryption key includes, for example, a public key and a secret key such as RSA (Rivest-Shamir-Adleman cryptosystem), or a common key such as AES (Advanced Encryption Standard).

車載装置3が備える通信部は、第1通信部321及び第2通信部322からなる2つの通信部により構成される。第1通信部321は、例えばイーサネットPHYにより構成され、イーサネット(Ethernet/登録商標)の通信プロトコルを用いた入出力インターフェイスである。第2通信部322は、例えばCANトランシーバにより構成され、CANの通信プロトコルを用いた入出力インターフェイスである。第1通信部321には、車外通信データ及び車内通信データが流れる第1セグメント51が、接続される。第2通信部322には、車内通信データのみが流れる第2セグメント52が、接続される。 The communication unit provided in the in-vehicle device 3 is composed of two communication units including a first communication unit 321 and a second communication unit 322 . The first communication unit 321 is, for example, an Ethernet PHY, and is an input/output interface that uses an Ethernet (registered trademark) communication protocol. The second communication unit 322 is, for example, a CAN transceiver, and is an input/output interface using a CAN communication protocol. The first communication unit 321 is connected to the first segment 51 through which the vehicle-external communication data and the vehicle-internal communication data flow. A second segment 52 through which only in-vehicle communication data flows is connected to the second communication unit 322 .

第1通信部321に対しては、第1処理部301からのみアクセス可能なように制限されている。又は、第1処理部301のみが、第1通信部321を介して受信されたデータを取得するように構成されているものであってもよい。すなわち、第2処理部302は、第1通信部321を介して受信されたデータを直接、取得しないように構成されている。その上で、第2処理部302は、第1通信部321を介してデータを送信(出力)できるものであってもよい。 Access to the first communication unit 321 is restricted so that it can be accessed only from the first processing unit 301 . Alternatively, only the first processing unit 301 may be configured to acquire data received via the first communication unit 321 . That is, the second processing unit 302 is configured not to directly acquire data received via the first communication unit 321 . In addition, the second processing unit 302 may be capable of transmitting (outputting) data via the first communication unit 321 .

第2通信部322に対しては、第2処理部302からのみアクセス可能なように制限されている。すなわち、第1処理部301から直接、第2通信部322を介してのデータの送信(出力)が禁止されるように、当該第2通信部322は構成されている。例えば、第2通信部322を制御するデバイスドライバには、当該第2通信部322にアクセスできる処理部として、第2処理部302のコア番号のみが設定されることにより、第1処理部301から直接、第2通信部322へのアクセスを禁止するものであってもよい。又は、第2通信部322は、第2記憶部312と同様に、第2処理部302とのみ内部バス33にて接続されるものであってもよい。 Access to the second communication unit 322 is restricted so that it can be accessed only from the second processing unit 302 . That is, the second communication unit 322 is configured such that data transmission (output) directly from the first processing unit 301 via the second communication unit 322 is prohibited. For example, by setting only the core number of the second processing unit 302 as a processing unit that can access the second communication unit 322 to the device driver that controls the second communication unit 322, Access to the second communication unit 322 may be prohibited directly. Alternatively, the second communication section 322 may be connected only to the second processing section 302 via the internal bus 33, like the second storage section 312 is.

このように構成された車載装置3は、第1通信部321に接続される第1セグメント51に流れるデータと、第2通信部322に接続される第2セグメント52に流れるデータとを中継する中継装置(ゲートウェイ)として機能する。又は、車載装置3は、車載ネットワーク5における所定のエリア、ゾーン又はドメインにおける通信等を制御する個別ECUとして機能するものであってもよい。又は、車載装置3は、通信データの中継に加え、車両Cに搭載された電源装置から供給される電力を分配するPLB(Power Lan Box)として機能するものであってもよい。 The in-vehicle device 3 configured as described above relays data flowing through the first segment 51 connected to the first communication unit 321 and data flowing through the second segment 52 connected to the second communication unit 322. It functions as a device (gateway). Alternatively, the in-vehicle device 3 may function as an individual ECU that controls communication or the like in a predetermined area, zone, or domain in the in-vehicle network 5 . Alternatively, the in-vehicle device 3 may function as a PLB (Power Lan Box) that distributes power supplied from a power supply device mounted on the vehicle C in addition to relaying communication data.

当該車載装置3において、第1セグメント51に流れるデータを、第1通信部321を介して取得(受信)した第1処理部301は、当該データを暗号化した暗号データを生成する。第1処理部301は、生成した暗号データを、第2通信部322がアクセス可能な共有記憶部310の所定の領域(物理アドレス番地)に書き出すことにより、当該暗号データを第2処理部302に転送する。第2処理部302は、共有記憶部310に書き込まれた暗号データを読み出し、当該暗号データを復号することにより、元のデータを取得する。第2処理部302は、復号することにより得たデータを、第2通信部322から送信(出力)する。 In the in-vehicle device 3, the first processing unit 301 acquires (receives) the data flowing through the first segment 51 via the first communication unit 321 and generates encrypted data by encrypting the data. The first processing unit 301 writes the generated encrypted data to a predetermined area (physical address) of the shared storage unit 310 accessible by the second communication unit 322, thereby transferring the encrypted data to the second processing unit 302. Forward. The second processing unit 302 reads the encrypted data written in the shared storage unit 310 and decrypts the encrypted data to obtain the original data. The second processing unit 302 transmits (outputs) the data obtained by decoding from the second communication unit 322 .

図3は、車載装置3の第1処理部301及び第2処理部302の処理を例示するフローチャートである。車載装置3は、例えば車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、定常的に以下の処理を行う。車載装置3の第1処理部301及び第2処理部302の一連の処理は、互いに連関して行われるものであるが、まずは第1処理部301による処理を説明し、以降、第2処理部302による処理を説明する。 FIG. 3 is a flowchart illustrating the processing of the first processing unit 301 and the second processing unit 302 of the in-vehicle device 3. As shown in FIG. The in-vehicle device 3 steadily performs the following processing, for example, when the vehicle C is in an activated state (the IG switch is on) or in a stopped state (the IG switch is off). A series of processes of the first processing unit 301 and the second processing unit 302 of the in-vehicle device 3 are performed in association with each other. The processing by 302 will be explained.

第1処理部301は、第1通信部321を介して、第1セグメント51に流れるデータを取得する(S101)。車載装置3は、第1セグメント51を介して、統合ECU2等、車両C外に位置する外部装置と通信するECU等と、通信可能に接続されている。従って、第1セグメント51には、例えば統合ECU2が受信した外部装置からのデータ、又は当該外部装置からのデータに基づき統合ECU2が生成したデータである車外通信データが、流れるものとなる。従って、第1セグメント51には、当該車外通信データと、車両C内にて送受信されるデータであって車両Cの制御に用いられる車内通信データとが、流れるものとなる。第1処理部301は、第1通信部321を介して、第1セグメント51に流れるデータ、すなわち車外通信データ及び車内通信データを取得(受信)する。 The first processing unit 301 acquires data flowing through the first segment 51 via the first communication unit 321 (S101). The in-vehicle device 3 is communicably connected to an ECU or the like that communicates with an external device located outside the vehicle C, such as the integrated ECU 2 , via the first segment 51 . Therefore, through the first segment 51, for example, data from an external device received by the integrated ECU 2 or external communication data, which is data generated by the integrated ECU 2 based on data from the external device, flows. Therefore, the external communication data and the internal communication data, which is data transmitted and received within the vehicle C and used for controlling the vehicle C, flow through the first segment 51 . The first processing unit 301 acquires (receives) data flowing through the first segment 51 , ie, vehicle-external communication data and vehicle-internal communication data, via the first communication unit 321 .

第1処理部301は、取得したデータにおいて、第2処理部302に転送する転送データを特定する(S102)。第1処理部301は、第1通信部321を介して取得したデータ(車外通信データ及び車内通信データ)において、例えば、当該データのヘッダー部に含まれる送信先アドレス又はポート番号等を抽出(参照)し、第2処理部302に転送する転送データを特定する。当該転送データは、第2セグメント52に接続される車載ECU4にて必要とされるデータであり、車内通信データに相当する。第1処理部301は、例えば、第1記憶部311に記憶されているルーティングテーブルを参照し、取得したデータを第2処理部302に転送するか否かを判定することにより、当該第2処理部302に転送する転送データを特定するものであってもよい。 The first processing unit 301 identifies transfer data to be transferred to the second processing unit 302 in the acquired data (S102). The first processing unit 301 extracts, for example, the destination address or port number included in the header of the data (external communication data and internal communication data) acquired via the first communication unit 321 (refer to ) to specify transfer data to be transferred to the second processing unit 302 . The transfer data is data required by the in-vehicle ECU 4 connected to the second segment 52 and corresponds to in-vehicle communication data. The first processing unit 301, for example, refers to the routing table stored in the first storage unit 311, and determines whether or not to transfer the acquired data to the second processing unit 302. It may specify transfer data to be transferred to the unit 302 .

第1処理部301は、特定した転送データを暗号化することにより、暗号データを生成する(S103)。第1処理部301は、特定した転送データを、例えば第1記憶部311に記憶されている暗号鍵を用いて暗号化し、暗号データを生成する。第1処理部301は、特定した転送データを暗号化する処理を行うにあたり、第1記憶部311をワーク領域として用いるものであってもよい。又は、第1処理部301は、車載装置3が備えるHSMを用いて暗号データを生成するものであってもよい。 The first processing unit 301 generates encrypted data by encrypting the specified transfer data (S103). The first processing unit 301 encrypts the identified transfer data using, for example, an encryption key stored in the first storage unit 311 to generate encrypted data. The first processing unit 301 may use the first storage unit 311 as a work area when performing the process of encrypting the specified transfer data. Alternatively, the first processing unit 301 may generate encrypted data using an HSM provided in the in-vehicle device 3 .

第1処理部301は、生成した暗号データを第2処理部302に転送する(S104)。第1処理部301は、生成した暗号データを、共有記憶部310における予め定められた物理アドレスの番号(アドレス番地)に書き込むことにより、当該暗号データを第2処理部302に転送するものであってもよい。すなわち、暗号データの転送用の物理アドレス番地が、共有記憶部310において予め定められており、第1処理部301及び第2処理部302それぞれにて独立して動くプログラムによるプロセスそれぞれは、当該暗号データの転送用の物理アドレス番地にアクセスすることにより、第1処理部301から第2処理部302への暗号データの転送が行われる。第1処理部301は、S104の処理後、再度S101からの処理を実行すべく、ループ処理を行うものであってもよい。 The first processing unit 301 transfers the generated encrypted data to the second processing unit 302 (S104). The first processing unit 301 transfers the generated encrypted data to the second processing unit 302 by writing the generated encrypted data to a predetermined physical address number (address address) in the shared storage unit 310 . may In other words, the physical address for transferring encrypted data is predetermined in the shared storage unit 310, and each process by a program that runs independently in each of the first processing unit 301 and the second processing unit 302 receives the encrypted data. Encrypted data is transferred from the first processing unit 301 to the second processing unit 302 by accessing the physical address for data transfer. After the processing of S104, the first processing unit 301 may perform loop processing so as to execute the processing from S101 again.

第2処理部302は、第1処理部301から転送された暗号データを取得する(T101)。第2処理部302は、共有記憶部310における予め定められた物理アドレスの番号(アドレス番地)にアクセスし、当該アドレス番地にて特定される領域に記憶されている暗号データを参照することにより、当該暗号データを取得する。 The second processing unit 302 acquires the encrypted data transferred from the first processing unit 301 (T101). The second processing unit 302 accesses a predetermined physical address number (address address) in the shared storage unit 310, and refers to the encrypted data stored in the area specified by the address address. Get the encrypted data.

第2処理部302は、取得した暗号データの復号(復号化)を試みる(T102)。第2処理部302は、例えば第2記憶部312に記憶されている暗号鍵を用いて、暗号データを、元データである転送データに復号する処理を試みる。第2処理部302は、暗号データを復号する処理を行うにあたり、第2記憶部312をワーク領域として用いるものであってもよい。又は、第2処理部302は、車載装置3が備えるHSMを用いて暗号データを復号するものであってもよい。 The second processing unit 302 attempts to decrypt (decrypt) the acquired encrypted data (T102). The second processing unit 302 uses the encryption key stored in the second storage unit 312, for example, to attempt processing to decrypt the encrypted data into transfer data, which is the original data. The second processing unit 302 may use the second storage unit 312 as a work area when performing processing for decrypting encrypted data. Alternatively, the second processing unit 302 may decrypt encrypted data using an HSM provided in the in-vehicle device 3 .

第2処理部302は、暗号データの復号(復号化)が成功したか否かを判定する(T103)。第2処理部302は、暗号鍵を用いて暗号データの復号を試みた場合、例えば、復号処理の返値(戻り値)に基づき、当該復号の正否(成功:1、失敗:0)を判定する。第1処理部301が正常である場合、当該第1処理部301による暗号化は正常に行われるため、第2処理部302による復号も正常(成功)に行われる。第1処理部301が不正なデータによって異常となっている場合、当該第1処理部301による暗号化も異常、又は暗号化処理そのものが行われないため、第2処理部302による復号が不可(失敗)となる。すなわち、第2処理部302は、暗号データの復号の正否結果に基づき、第1処理部301が正常であるか、又は異常であるかを判定することができる。 The second processing unit 302 determines whether or not the decryption (decryption) of the encrypted data has succeeded (T103). When trying to decrypt encrypted data using an encryption key, the second processing unit 302 determines whether the decryption is correct (success: 1, failure: 0) based on the return value of the decryption process, for example. do. If the first processing unit 301 is normal, encryption by the first processing unit 301 is normally performed, and therefore decryption by the second processing unit 302 is also normally (successfully) performed. If the first processing unit 301 is abnormal due to incorrect data, the encryption by the first processing unit 301 is also abnormal, or the encryption processing itself is not performed, so the second processing unit 302 cannot decrypt ( failure). In other words, the second processing unit 302 can determine whether the first processing unit 301 is normal or abnormal based on the result of the decryption of the encrypted data.

暗号データの復号が成功した場合(T103:YES)、第2処理部302は、第2通信部322を介して、復号したデータを送信する(T104)。暗号データの復号が成功した場合、第2処理部302は、第1処理部301が正常であると判定し、復号したデータ(転送データ)を、第2通信部322を介して送信する。又は、第2処理部302は、復号したデータ(転送データ)に基づき処理を行い、当該処理結果として生成した制御データを、第2通信部322を介して送信するものであってもよい。 If the decryption of the encrypted data is successful (T103: YES), the second processing unit 302 transmits the decrypted data via the second communication unit 322 (T104). If the decryption of the encrypted data is successful, the second processing unit 302 determines that the first processing unit 301 is normal, and transmits the decrypted data (transfer data) via the second communication unit 322 . Alternatively, the second processing unit 302 may perform processing based on the decoded data (transfer data) and transmit control data generated as a result of the processing via the second communication unit 322 .

第2通信部322を介して送信されたデータは、当該第2通信部322が接続される第2セグメント52を介して、当該第2セグメント52に接続されている車載ECU4によって受信される。これら車載ECU4は、当該受信したデータに基づき、自ECUに直接接続されているアクチュエータ等の車載器を制御する。 The data transmitted via the second communication unit 322 is received by the in-vehicle ECU 4 connected to the second segment 52 via the second segment 52 to which the second communication unit 322 is connected. Based on the received data, these in-vehicle ECUs 4 control in-vehicle devices such as actuators directly connected to their own ECUs.

暗号データの復号が失敗した場合(T103:NO)、第2処理部302は、第1処理部301から転送された暗号データを破棄する(T1031)。第2処理部302は、第1処理部301は異常であると判定し、第1処理部301から転送されたデータ(暗号データ)を破棄する。これにより、第1処理部301から転送されたデータに応じて、第2処理部302が第2通信部322を介して当該データを送信することを防止することができ、第2通信部322が接続される第2セグメント52における通信状態を正常な状態に維持することができる。 If the decryption of the encrypted data fails (T103: NO), the second processing unit 302 discards the encrypted data transferred from the first processing unit 301 (T1031). The second processing unit 302 determines that the first processing unit 301 is abnormal, and discards the data (encrypted data) transferred from the first processing unit 301 . As a result, it is possible to prevent the second processing unit 302 from transmitting the data via the second communication unit 322 according to the data transferred from the first processing unit 301, and the second communication unit 322 The communication state in the connected second segment 52 can be maintained in a normal state.

すなわち、第1セグメント51において不正なデータが流れている状態であっても、当該不正なデータ、又は不正なデータに起因するデータが、第2セグメント52に流れることを効率的に抑制又は防止することができる。第2処理部302は、第1通信部321を介して受信したデータを直接取得することなく、第1処理部301から転送された暗号データを取得するため、第1通信部321が接続される第1セグメント51に不正なデータが流れている場合であっても、当該不正なデータの影響は受けない。第2処理部302は、異常となった第1処理部301から転送されたデータを破棄するため、当該データによって自部が異常となることを防止することができる。 In other words, even when unauthorized data is flowing in the first segment 51, the unauthorized data or data resulting from the unauthorized data is efficiently suppressed or prevented from flowing to the second segment 52. be able to. The second processing unit 302 acquires the encrypted data transferred from the first processing unit 301 without directly acquiring the data received via the first communication unit 321, so the first communication unit 321 is connected. Even if unauthorized data flows in the first segment 51, the unauthorized data is not affected. Since the second processing unit 302 discards the data transferred from the abnormal first processing unit 301, it can prevent itself from becoming abnormal due to the data.

第1処理部301から転送されるデータ(暗号データ)を破棄することにより、第2処理部302は、第1セグメント51に接続される統合ECU2等と通信ができない状態となる。これに対し、第2処理部302は、例えば、通常の運転モードに対し、アクチュエータ等の車載器が行う機能を制限した縮退運転モードを実行するための処理(縮退運転処理)を行い、当該縮退運転処理にて生成したデータを、第2通信部322を介して第2セグメント52に接続される車載ECU4に送信(出力)するものであってもよい。 By discarding the data (encrypted data) transferred from the first processing unit 301 , the second processing unit 302 becomes incapable of communicating with the integrated ECU 2 or the like connected to the first segment 51 . On the other hand, the second processing unit 302 performs, for example, a process (degenerate operation process) for executing a degenerate operation mode in which the functions performed by the vehicle-mounted device such as the actuator are restricted in the normal operation mode. Data generated in the driving process may be transmitted (output) to the in-vehicle ECU 4 connected to the second segment 52 via the second communication section 322 .

当該第2セグメント52に接続されている車載ECU4は、車載装置3の第2処理部302によって行われた縮退運転処理によって生成及び送信された車内通信データを取得(受信)し、当該車内通信データに応じて、自ECUに接続されるアクチュエータ等の車載器の制御を縮退運転モードにて行うものであってもよい。 The in-vehicle ECU 4 connected to the second segment 52 acquires (receives) in-vehicle communication data generated and transmitted by the degenerate operation processing performed by the second processing unit 302 of the in-vehicle device 3, and converts the in-vehicle communication data Depending on the situation, the vehicle-mounted equipment such as an actuator connected to the own ECU may be controlled in the degenerate operation mode.

第2処理部302は、T1031、又はT104の処理後、再度T101からの処理を実行すべく、ループ処理を行うものであってもよい。 The second processing unit 302 may perform loop processing so as to execute the processing from T101 again after the processing of T1031 or T104.

(実施形態2)
図4は、実施形態2(復旧プログラム)に係る車載装置3の第1処理部301及び第2処理部302の処理を例示するフローチャートである。車載装置3は、例えば車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、定常的に以下の処理を行う。 (Embodiment 2)
FIG. 4 is a flowchart illustrating processes of the first processing unit 301 and the second processing unit 302 of the in-vehicle device 3 according to the second embodiment (recovery program). The in-vehicle device 3 steadily performs the following processing, for example, when the vehicle C is in an activated state (the IG switch is on) or in a stopped state (the IG switch is off).

第1処理部301は、第1通信部321を介して、第1セグメント51に流れるデータを取得する(S201)。第1処理部301は、取得したデータにおいて、第2処理部302に転送する転送データを特定する(S202)。第1処理部301は、特定した転送データを暗号化することにより、暗号データを生成する(S203)。第1処理部301は、生成した暗号データを第2処理部302に転送する(S204)。第1処理部301は、実施形態1のS101からS104までと同様に、S201からS204までの処理を行う。 The first processing unit 301 acquires data flowing through the first segment 51 via the first communication unit 321 (S201). The first processing unit 301 identifies transfer data to be transferred to the second processing unit 302 in the acquired data (S202). The first processing unit 301 generates encrypted data by encrypting the identified transfer data (S203). The first processing unit 301 transfers the generated encrypted data to the second processing unit 302 (S204). The first processing unit 301 performs the processing from S201 to S204 in the same manner as from S101 to S104 in the first embodiment.

第2処理部302は、第1処理部301から転送された暗号データを取得する(T201)。第2処理部302は、取得した暗号データの復号(復号化)を試みる(T202)。第2処理部302は、暗号データの復号が成功したか否かを判定する(T203)。暗号データの復号が成功した場合(T203:YES)、第2処理部302は、第2通信部322を介して復号したデータを送信する(T204)。第2処理部302は、実施形態1のT101からT104までと同様に、T201からT204までの処理を行う。 The second processing unit 302 acquires the encrypted data transferred from the first processing unit 301 (T201). The second processing unit 302 attempts to decrypt (decrypt) the acquired encrypted data (T202). The second processing unit 302 determines whether or not the decryption of the encrypted data has succeeded (T203). If the decryption of the encrypted data is successful (T203: YES), the second processing unit 302 transmits the decrypted data via the second communication unit 322 (T204). The second processing unit 302 performs processing from T201 to T204 in the same manner as from T101 to T104 in the first embodiment.

暗号データの復号が失敗した場合(T203:NO)、第2処理部302は、第1処理部301から転送された暗号データを破棄する(T2031)。第2処理部302は、実施形態1のT1031と同様に、T2031の処理を行う。 If the decryption of the encrypted data fails (T203: NO), the second processing unit 302 discards the encrypted data transferred from the first processing unit 301 (T2031). The second processing unit 302 performs the process of T2031 in the same manner as T1031 of the first embodiment.

第2処理部302は、異常となった第1処理部301を復旧させるための復旧プログラムを、共有記憶部310に書き込む処理を行う(T2032)。第2処理部302は、第1処理部301にリセットシグナルを送信する(T2033)。第2処理部302は、例えば、第2記憶部312に予め保存(記憶)されている復旧プログラムを、共有記憶部310の所定の物理アドレス番地の領域に書き込む。復旧プログラムは、第2処理部302からのみアクセス可能な第2記憶部312に保存(記憶)されているため、異常となった第1処理部301による処理の影響を受けることなく、セキュアな保存状態を維持することができる。当該共有記憶部310の所定の物理アドレス番地は、第1処理部301がリセットシグナルによって再起動する際、アクセスする物理アドレス番地として、予め設定されているものであってもよい。又は、当該所定の物理アドレス番地は、第2処理部302から送信されるリセットシグナルに含まれており、リセットシグナルを受信した第1処理部301が、当該リセットシグナル基づき、所定の物理アドレス番地を特定できるものであってもよい。 The second processing unit 302 writes a restoration program for restoring the abnormal first processing unit 301 to the shared storage unit 310 (T2032). The second processing unit 302 transmits a reset signal to the first processing unit 301 (T2033). The second processing unit 302 writes, for example, a recovery program pre-stored (stored) in the second storage unit 312 to a predetermined physical address area of the shared storage unit 310 . Since the recovery program is saved (stored) in the second storage unit 312 accessible only from the second processing unit 302, it can be saved securely without being affected by the processing by the abnormal first processing unit 301. state can be maintained. The predetermined physical address of the shared storage unit 310 may be set in advance as a physical address to be accessed when the first processing unit 301 is restarted by a reset signal. Alternatively, the predetermined physical address address is included in the reset signal transmitted from the second processing unit 302, and the first processing unit 301 receiving the reset signal resets the predetermined physical address address based on the reset signal. It may be something that can be specified.

第1処理部301は、第2処理部302からのリセットシグナルを受信したか否かを判定する(S205)。リセットシグナルを受信していないと判定した場合(S205:NO)、第1処理部301は、一連の処理を終了する。又は、第1処理部301は、再度S201からの処理を実行すべく、ループ処理を行うものであってもよい。 The first processing unit 301 determines whether or not a reset signal has been received from the second processing unit 302 (S205). When determining that the reset signal has not been received (S205: NO), the first processing unit 301 ends the series of processes. Alternatively, the first processing unit 301 may perform loop processing so as to execute the processing from S201 again.

リセットシグナルを受信したと判定した場合(S205:NO)、第1処理部301は、再起動して、復旧プログラムを実行する(S206)。第1処理部301は、受信したリセットシグナルに応じて、自部をリセットすることにより再起動すると共に、当該再起動する際に共有記憶部310における所定の物理アドレス番地の領域に保存されている復旧プログラムを実行する。これにより、第1処理部301は、不正なデータによる異常状態から、正常状態に復帰することができる。第1処理部301は、一連の処理を終了する。又は、第1処理部301は、再度S201からの処理を実行すべく、ループ処理を行うものであってもよい。 When determining that the reset signal has been received (S205: NO), the first processing unit 301 restarts and executes the recovery program (S206). The first processing unit 301 restarts by resetting itself according to the received reset signal. Run the recovery program. As a result, the first processing unit 301 can return to a normal state from an abnormal state caused by incorrect data. The first processing unit 301 ends the series of processes. Alternatively, the first processing unit 301 may perform loop processing so as to execute the processing from S201 again.

今回開示された実施形態は全ての点で例示であって、制限的なものではないと考えられるべきである。本開示の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。 The embodiments disclosed this time are illustrative in all respects and should be considered not restrictive. The scope of the present disclosure is indicated by the scope of the claims rather than the meaning described above, and is intended to include all modifications within the scope and meaning equivalent to the scope of the claims.

C 車両
S 車載システム
100 外部サーバ
1 車外通信装置
11 アンテナ
2 統合ECU
3 車載装置(個別ECU)
301 第1処理部
302 第2処理部
310 共有記憶部
311 第1記憶部
312 第2記憶部
321 第1通信部(イーサPHY部)
322 第2通信部(CANトランシーバ)
33 内部バス
4 車載ECU
5 車載ネットワーク
51 第1セグメント(第1ゾーン)
52 第2セグメント(第2ゾーン) C vehicle S in-vehicle system 100 external server 1 external communication device 11 antenna 2 integrated ECU
3 In-vehicle device (individual ECU)
301 first processing unit 302 second processing unit 310 shared storage unit 311 first storage unit 312 second storage unit 321 first communication unit (Ether PHY unit)
322 second communication unit (CAN transceiver)
33 internal bus 4 in-vehicle ECU
5 In-vehicle network 51 1st segment (1st zone)
52 second segment (second zone)

Claims (8)

車外通信データ及び車内通信データが流れる第1セグメントと、車内通信データのみが流れる第2セグメントとを含む車載ネットワークを有する車両に搭載される車載装置であって、
前記第1セグメントに接続される第1通信部と、
前記第2セグメントに接続される第2通信部と、
前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、
前記第2通信部にて受信した車内通信データを処理する第2処理部とを備え、
前記第1処理部は、
前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、
特定した前記転送データを暗号化した暗号データを生成し、
生成した前記暗号データを前記第2処理部に転送し、
前記第2処理部は、前記第1処理部から転送された前記暗号データを復号する
車載装置。 An in-vehicle device mounted in a vehicle having an in-vehicle network including a first segment in which external communication data and in-vehicle communication data flow and a second segment in which only in-vehicle communication data flows,
a first communication unit connected to the first segment;
a second communication unit connected to the second segment;
a first processing unit that processes external communication data and internal communication data received by the first communication unit;
a second processing unit that processes in-vehicle communication data received by the second communication unit;
The first processing unit is
identifying transfer data to be transferred to the second processing unit in the external communication data or the internal communication data received by the first communication unit;
generating encrypted data by encrypting the identified transfer data;
transferring the generated encrypted data to the second processing unit;
A vehicle-mounted device, wherein the second processing unit decrypts the encrypted data transferred from the first processing unit. 前記車外通信データは、前記車両外に位置する外部装置から送信されるデータを含み、
前記車内通信データは、前記車両内にて送受信されるデータであって、前記車両の制御に用いられるデータを含む
請求項1に記載の車載装置。 The external communication data includes data transmitted from an external device located outside the vehicle,
The in-vehicle device according to claim 1, wherein the in-vehicle communication data is data transmitted and received within the vehicle and includes data used for controlling the vehicle. 前記第1処理部及び前記第2処理部からアクセス可能な共有記憶部を備え、
前記第1処理部から前記第2処理部への前記暗号データの転送は、前記共有記憶部を介して行われる
請求項1又は請求項2に記載の車載装置。 A shared storage unit accessible from the first processing unit and the second processing unit,
3. The in-vehicle device according to claim 1, wherein said encrypted data is transferred from said first processing unit to said second processing unit via said shared storage unit. 前記第1処理部のみからアクセス可能な第1記憶部と、
前記第2処理部のみからアクセス可能な第2記憶部とを備え、
前記第1処理部は、前記第1記憶部をワーク領域として用いて、前記転送データを暗号化する処理を行い、
前記第2処理部は、前記第2記憶部をワーク領域として用いて、前記暗号データを復号する処理を行う
請求項1から請求項3のいずれか1項に記載の車載装置。 a first storage unit accessible only from the first processing unit;
A second storage unit accessible only from the second processing unit,
The first processing unit uses the first storage unit as a work area to perform a process of encrypting the transfer data,
The in-vehicle device according to any one of claims 1 to 3, wherein the second processing section uses the second storage section as a work area to perform a process of decrypting the encrypted data. 前記第2処理部は、
前記暗号データの復号の成否を判定し、
前記暗号データの復号が成功した場合、復号した前記転送データを前記第2通信部から送信し、
前記暗号データの復号が失敗した場合、前記第1処理部から転送される前記暗号データを破棄する
請求項1から請求項4のいずれか1項に記載の車載装置。 The second processing unit is
Determining success or failure of decryption of the encrypted data,
If the decryption of the encrypted data is successful, the decrypted transfer data is transmitted from the second communication unit;
The in-vehicle device according to any one of claims 1 to 4, wherein if the decryption of the encrypted data fails, the encrypted data transferred from the first processing unit is discarded. 前記第2処理部は、前記暗号データの復号が失敗した場合、前記第1処理部を復旧させるための復旧プログラムを前記第1処理部に実行させる
請求項5に記載の車載装置。 The in-vehicle device according to claim 5, wherein, when decryption of the encrypted data fails, the second processing unit causes the first processing unit to execute a restoration program for restoring the first processing unit. 車外通信データ及び車内通信データが流れる第1セグメントに接続される第1通信部と、
車内通信データのみが流れる第2セグメントに接続される第2通信部と、
前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、
前記第2通信部にて受信した車内通信データを処理する第2処理部とを備えるコンピュータに、
前記第1処理部にて、
前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、
特定した前記転送データを暗号化した暗号データを生成し、
生成した前記暗号データを前記第2処理部に転送し、
前記第2処理部にて、前記第1処理部から転送された前記暗号データを復号する
処理を実行させる情報処理方法。 a first communication unit connected to a first segment through which external communication data and in-vehicle communication data flow;
a second communication unit connected to a second segment through which only in-vehicle communication data flows;
a first processing unit that processes external communication data and internal communication data received by the first communication unit;
A computer comprising a second processing unit that processes in-vehicle communication data received by the second communication unit,
In the first processing section,
identifying transfer data to be transferred to the second processing unit in the external communication data or the internal communication data received by the first communication unit;
generating encrypted data by encrypting the identified transfer data;
transferring the generated encrypted data to the second processing unit;
An information processing method in which the second processing unit decrypts the encrypted data transferred from the first processing unit. 車外通信データ及び車内通信データが流れる第1セグメントに接続される第1通信部と、
車内通信データのみが流れる第2セグメントに接続される第2通信部と、
前記第1通信部にて受信した車外通信データ及び車内通信データを処理する第1処理部と、
前記第2通信部にて受信した車内通信データを処理する第2処理部とを備えるコンピュータに、
前記第1処理部にて、
前記第1通信部にて受信した車外通信データ又は車内通信データにおいて、前記第2処理部に転送する転送データを特定し、
特定した前記転送データを暗号化した暗号データを生成し、
生成した前記暗号データを前記第2処理部に転送し、
前記第2処理部にて、前記第1処理部から転送された前記暗号データを復号する
処理を実行させるプログラム。 a first communication unit connected to a first segment through which external communication data and in-vehicle communication data flow;
a second communication unit connected to a second segment through which only in-vehicle communication data flows;
a first processing unit that processes external communication data and internal communication data received by the first communication unit;
A computer comprising a second processing unit that processes in-vehicle communication data received by the second communication unit,
In the first processing section,
identifying transfer data to be transferred to the second processing unit in the external communication data or the internal communication data received by the first communication unit;
generating encrypted data by encrypting the identified transfer data;
transferring the generated encrypted data to the second processing unit;
A program that causes the second processing unit to decrypt the encrypted data transferred from the first processing unit.
JP2021200291A 2021-12-09 2021-12-09 On-vehicle device, program, and information processing method Pending JP2023085958A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021200291A JP2023085958A (en) 2021-12-09 2021-12-09 On-vehicle device, program, and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021200291A JP2023085958A (en) 2021-12-09 2021-12-09 On-vehicle device, program, and information processing method

Publications (1)

Publication Number Publication Date
JP2023085958A true JP2023085958A (en) 2023-06-21

Family

ID=86775747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021200291A Pending JP2023085958A (en) 2021-12-09 2021-12-09 On-vehicle device, program, and information processing method

Country Status (1)

Country Link
JP (1) JP2023085958A (en)

Similar Documents

Publication Publication Date Title
US11314661B2 (en) Hardware security for an electronic control unit
EP3348036B1 (en) Unauthorized access event notificaiton for vehicle electronic control units
US9641329B2 (en) In-vehicle system and communication method
WO2016204081A1 (en) Vehicle-mounted relay device, vehicle-mounted communication system and relay program
US8577036B2 (en) Method and device for transmitting messages in real time
JP6704458B2 (en) In-vehicle processor
CN109286500B (en) Vehicle Electronic Control Unit (ECU) authentication method, device and equipment
JP6625293B2 (en) Key management device and communication equipment
WO2019116922A1 (en) Onboard updating device, program, and method for updating program or data
CN112100697B (en) Memory device with cipher stop switch
JP2005203882A (en) Communication system and key transmitting method
US20180212977A1 (en) In-vehicle network system
CN113162928B (en) Communication method, communication device, ECU, vehicle and storage medium
US11218309B2 (en) Vehicle communication system and vehicle communication method
CN111917618B (en) Vehicle-mounted CAN bus communication method, device and system and vehicle
JP2023085958A (en) On-vehicle device, program, and information processing method
WO2020090418A1 (en) Electronic control device, and reprogramming method for electronic control device
US11750573B2 (en) System for transmitting and receiving data based on vehicle network and method therefor
CN114978688A (en) Method and device for data transmission, router and Internet of things equipment
JP7132132B2 (en) In-vehicle communication system, in-vehicle communication control device, in-vehicle communication device, computer program, communication control method and communication method
WO2020105657A1 (en) Onboard relay device and relay method
CN114946155A (en) Vehicle diagnosis system, method and device
EP4387285A1 (en) Key indication protocol
JP6885305B2 (en) Network system
CN113285956B (en) Controller area network bus encryption method, device, equipment and medium