JP2023125813A - 車載装置、プログラム及び情報処理方法 - Google Patents
車載装置、プログラム及び情報処理方法 Download PDFInfo
- Publication number
- JP2023125813A JP2023125813A JP2022030127A JP2022030127A JP2023125813A JP 2023125813 A JP2023125813 A JP 2023125813A JP 2022030127 A JP2022030127 A JP 2022030127A JP 2022030127 A JP2022030127 A JP 2022030127A JP 2023125813 A JP2023125813 A JP 2023125813A
- Authority
- JP
- Japan
- Prior art keywords
- processing unit
- vehicle
- processing
- processing section
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 5
- 238000003672 processing method Methods 0.000 title claims description 5
- 238000012545 processing Methods 0.000 claims abstract description 538
- 238000012795 verification Methods 0.000 claims abstract description 146
- 238000004891 communication Methods 0.000 claims description 144
- 230000004044 response Effects 0.000 claims description 99
- 238000000034 method Methods 0.000 claims description 48
- 230000002159 abnormal effect Effects 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 32
- 238000011084 recovery Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 16
- 230000009849 deactivation Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】搭載する処理部に対し効率的にセキュリティ対策を行うことができる車載装置等を提供する。【解決手段】車載装置は、車載装置は、車載ネットワークを有する車両に搭載される車載装置であって、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備え、前記第1処理部は、前記第2処理部に対しセキュリティ検証を行う。【選択図】図1
Description
本発明は、車載装置、プログラム及び情報処理方法に関する。
車両に搭載され、複数のマイコンを備えつつ、通信バスの異常を検出できる電子制御装置が開示されている(例えば特許文献1)。特許文献1の電子制御装置は、通信バスに接続された複数のノードの一つであり、通信バスに流れている伝送信号を受信すると共に、通信バスに送信信号を送信する第1マイコンと第2マイコンを備え、通信バスに送信する送信信号が通信バスを介することなく各マイコンに送信され、各マイコンが送信信号を受信するように構成されている。
しかしながら、特許文献1の電子制御装置においては、当該電子制御装置に含まれるマイコンに対し、効率的にセキュリティ対策を行う点が考慮されていないという問題点がある。
本開示は、搭載する処理部に対し効率的にセキュリティ対策を行うことができる車載装置等を提供することを目的とする。
本開示の一態様に係る車載装置は、車載装置は、車載ネットワークを有する車両に搭載される車載装置であって、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備え、前記第1処理部は、前記第2処理部に対しセキュリティ検証を行う。
本開示の一態様によれば、搭載する処理部に対し効率的にセキュリティ対策を行う車載装置等を提供することできる。
[本開示の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
(1)本開示の一態様に係る車載装置は、車載ネットワークを有する車両に搭載される車載装置であって、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備え、前記第1処理部は、前記第2処理部に対しセキュリティ検証を行う。
本態様にあたっては、車載装置は、第1処理部及び第2処理部を備え、これら処理部それぞれは、例えば別個のマイコン等により構成される。車載ネットワークに接続される第1処理部は、第2処理部に対しセキュリティ検証を行うものであり、当該第2処理部に対する監視機能を発揮する。従って、第2処理部が、例えば、OTAサーバ又はダイアグ装置等、車両の外部に位置する車外装置と通信する場合、第2処理部に対し車外からの不正なアクセス又はデータが送信された場合であっても、第1処理部が第2処理部に対しセキュリティ検証を行うにより、第2処理部の完全性(正常性)を担保することができる。このように単一の車載装置に、第1処理部及び第2処理部を構成する複数のマイコン等が実装される場合であっても、車載ネットワークに接続される第1処理部が、当該車載ネットワークに直接的に接続されない第2処理部(他の処理部)に対するセキュリティ検証を効率的に行うことができる。
(2)本開示の一態様に係る車載装置は、前記第1処理部は、前記セキュリティ検証に対する前記第2処理部からの応答データを取得し、取得した応答データに基づき、前記第2処理部が正常であるか否かを判定する。
本態様にあたっては、第1処理部は、第2処理部に対するセキュリティ検証を行うあたり、第2処理部から応答データを取得し、当該応答データに対するセキュリティ検証の結果に基づき、第2処理部が正常であるか否かを判定する。第1処理部は、例えば、応答データに基づき生成されるハッシュ値を記憶部に予め記憶しておき、予め記憶されているハッシュ値(正解値)と、セキュリティ検証のために第2処理部から取得した応答データに基づき生成(変換)したハッシュ値とを対比することにより、当該取得した応答データが正常であるか異常であるかを判定するものであってもよい。第1処理部は、応答データが正常である場合、第2処理部は正常であると判定し、応答データが異常である場合、第2処理部は異常であると判定する。応答データを取得できなかった場合についても、第1処理部は、第2処理部が異常であると判定するものであってもよい。このように第2処理部から取得した応答データに対するセキュリティ検証の結果を用いることにより、第2処理部に対しセキュリティ検証を効率的に行うことができる。
(3)本開示の一態様に係る車載装置は、前記第1処理部は、チャレンジレスポンス方式を用いて、前記第2処理部に対しセキュリティ検証を行う。
本態様にあたっては、第1処理部は、チャレンジレスポンス方式を用いることにより、ランダムに生成したチャレンジ情報を第2処理部に送信すると共に、当該チャレンジ情報に対応するレスポンス情報を生成する。第2処理部は、第1処理部から出力されたチャレンジ情報、及び第2処理部にて設定されているパスワードからハッシュ値を生成(変換)することでレスポンス情報を生成し、第1処理部に出力する。第1処理部は、第2処理部から出力されたレスポンス情報と、自身がチャレンジ情報から生成したレスポンス情報とを対比し、同一であれば認証(チャレンジレスポンス認証)を成功させることにより、セキュリティ検証を行う。このようにチャレンジレスポンス方式を用いることにより、第2処理部に対しセキュリティ検証を効率的に行うことができる。
(4)本開示の一態様に係る車載装置は、前記第1処理部は、前記第2処理部からの検証依頼に応じて、前記第2処理部に対しセキュリティ検証を行う。
本態様にあたっては、第2処理部は、第1処理部に対し、例えば周期的又は定期的に検証依頼を行い(認証要求を出力)、第1処理部は、第2処理部からの検証依頼に応じて第2処理部に対しセキュリティ検証を行う。これにより、第1処理部は、第2処理部からの検証依頼を、セキュリティ検証を開始するトリガーとすることができ、第2処理部に対するセキュリティ検証を行う際のスケジューリング又はタイミング制御に関する処理を不要とし、第1処理部における負荷を低減することができる。従って、第1処理部がセキュリティ検証を担う第2処理部(他の処理部)が複数個ある場合であっても、これら複数の第2処理部からの検証依頼に応じることにより、第2処理部に対しセキュリティ検証を効率的に行うことができる。
(5)本開示の一態様に係る車載装置は、前記第1処理部は、前記第2処理部からの検証依頼を所定期間、取得しなかった場合、前記第2処理部は異常であると判定する。
本態様にあたっては、第2処理部が周期的に検証依頼を第1処理部に出力するように構成されている際、第1処理部が第2処理部からの検証依頼を所定期間、取得しなかった場合、第2処理部は例えば車外からの不正なアクセス等(セキュリティ攻撃)によって異常な状態にあることが想定される。このような場合であっても、第1処理部は、第2処理部からの検証依頼を所定期間、取得しなかったことにより、当該第2処理部は異常であると判定するため、第2処理部に対するセキュリティ検証を効率的に行うことができる。
(6)本開示の一態様に係る車載装置は、前記第2処理部は、前記車両外の外部装置からの車外通信データを取得し、前記第1処理部及び前記第2処理部は、前記車外通信データが流れるデータ用通信ラインと、前記セキュリティ検証のためのデータが流れる検証用通信ラインとにより接続される。
本態様にあたっては、第1処理部と第2処理部との間の通信回路として、データ用通信ライン及び検証用通信ラインとによる並列回路が構成され、二重化される。これにより、データ用通信ラインを用いた中継処理等に対する影響を及ぼすことなく、検証用通信ラインを用いたセキュリティ検証を行うことができる。
(7)本開示の一態様に係る車載装置は、前記第1処理部は、前記セキュリティ検証の結果に基づき、前記第2処理部は異常であると判定した場合、前記第2処理部を非活性化するための処理を行う。
本態様にあたっては、第1処理部は、セキュリティ検証の結果に基づき、第2処理部は異常であると判定した場合、第2処理部を非活性化するため、異常な状態にある第2処理部を車載ネットワークから実質的に切り離し、当該第2処理部によって車両の制御(車両システム)に影響が発生することを防止することができる。当該第2処理部の非活性化を行うあたり、第1処理部は、第2処理部への電力供給の遮断、第2処理部の強制的停止(シャットダウン)、第2処理部とのデータ用通信ラインの遮断、又は当該データ用通信ラインに接続される通信ポート(車内通信部)の無効化を行うものであってもよい。
(8)本開示の一態様に係る車載装置は、前記第1処理部は、前記セキュリティ検証の結果に基づき、前記第2処理部は異常であると判定した場合、前記第2処理部を復帰させるための復帰処理を行う。
本態様にあたっては、第1処理部は、セキュリティ検証の結果に基づき、第2処理部は異常であると判定した場合、第2処理部への電力の遮断及び再供給による第2処理部の再起動、第2処理部に対し復帰信号を出力等、復帰処理を行う。これにより、例えば車外からの不正なアクセス等(セキュリティ攻撃)によって異常な状態となった第2処理部を正常な状態に遷移(復帰)させることができる。当該第2処理部に対する復帰信号は、例えば、第2処理部のリブート、初期化、又は、第1処理部の記憶部に予め記憶されているプログラム及び当該プログラムの実行指示を含む信号であってもよい。第1処理部は、復帰信号を第2処理部に対し、複数回(所定回数)に亘って出力したにもかからず、第2処理部に対するセキュリティ検証の結果(検証結果)が異常となることが継続した場合、第2処理部を非活性化するものであってもよい。
(9)本開示の一態様に係る車載装置は、前記車載ネットワークには、複数の車載ECUが接続され、前記第1処理部は、前記第2処理部から取得したデータを、前記車載ネットワークを介して前記車載ECUに中継する。
本態様にあたっては、第1処理部は、第2処理部が取得したデータを、車載ネットワークを介して車載ECUに中継するため、車載装置を中継装置として機能させることができる。また、第1処理部には、車載ネットワークを構成する複数の通信ケーブル(CANバス等)が接続され、これら複数の通信ケーブルそれぞれに接続される車載ECU間にて送受信されるデータを中継するものであってもよい。
(10)本開示の一態様に係る情報処理方法は、車載ネットワークを有する車両に搭載され、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備えるコンピュータに、前記第1処理部にて、前記第2処理部に対しセキュリティ検証を行う。
本態様にあたっては、コンピュータを、搭載する処理部に対し効率的にセキュリティ対策を行う車載装置として、機能させる情報処理方法を提供することができる。
(11)本開示の一態様に係るプログラムは、車載ネットワークを有する車両に搭載され、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備えるコンピュータに、前記第1処理部にて、前記第2処理部に対しセキュリティ検証を行う。
本態様にあたっては、コンピュータを、搭載する処理部に対し効率的にセキュリティ対策を行う車載装置として、機能させるプログラム提供することができる。
[本開示の実施形態の詳細]
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載システムSを、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載システムSを、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る車載システムSのシステム構成を例示する模式図である。図2は、車載システムSに含まれ車載装置2の内部構成を例示するブロック図である。車載システムSは、車両Cに搭載される車載装置2及び複数の車載ECU4を含み、これら車載装置2及び複数の車載ECU4は、CANバス等の通信ケーブル31により構成される車載ネットワーク3を介して通信可能に接続される。車載ECU4には、モータ等のアクチュエータ5(図5参照)、又はランプ、センサ等の車載機器が接続される。車載装置2は、車載ネットワーク3に接続される複数の車載ECU4間において、送受信されるデータを中継する中継装置として機能するものであってもよい。
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る車載システムSのシステム構成を例示する模式図である。図2は、車載システムSに含まれ車載装置2の内部構成を例示するブロック図である。車載システムSは、車両Cに搭載される車載装置2及び複数の車載ECU4を含み、これら車載装置2及び複数の車載ECU4は、CANバス等の通信ケーブル31により構成される車載ネットワーク3を介して通信可能に接続される。車載ECU4には、モータ等のアクチュエータ5(図5参照)、又はランプ、センサ等の車載機器が接続される。車載装置2は、車載ネットワーク3に接続される複数の車載ECU4間において、送受信されるデータを中継する中継装置として機能するものであってもよい。
車載装置2には、外部ネットワークを介して通信するための車外通信装置1が接続される。車載装置2は、車外通信装置1及び外部ネットワークを介して、外部サーバ100又は携帯端末等と通信する。当該外部サーバ100は、例えばインターネット又は公衆回線網等の車外ネットワークに接続されているサーバ等のコンピュータであり、更新プログラムの提供を行うOTA(Over The Air)サーバであってもよい。
車外通信装置1は、無線通信部(図示せず)及び、車載装置2と通信するための通信I/Fを含む。無線通信部は、4G、LTE(Long Term Evolution/登録商標)、5G、WiFi(登録商標)等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部223に接続されたアンテナ11を介して外部サーバ100とデータの送受信を行う。通信I/Fは、車載装置2と、例えばシリアル通信するための通信インターフェイス、又はCAN通信するためのCANトランシーバであってもよい。車外通信装置1と外部サーバ100との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。本実施形態では、車外通信装置1は、車載装置2と別装置とし、通信I/F等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、車載装置2の一構成部位として、車載装置2に内蔵されるものであってもよい。この場合、第2処理部22(車外側マイコン)が車外通信装置1の機能を有するものであってもよい。
車載装置2には、車両Cの検査等の際に用いられるダイアグ装置101が接続されるものであってもよい。更に、車載装置2は、LFアンテナ及びRFアンテナと接続され、スマートキーから発信された信号を受信するものであってもよい。このように車載装置2には車両C外に位置する外部装置が、直接的又は間接的に接続され、車載装置2は、当該外部装置から出力(送信)されたデータ(車外通信データ)を車載ネットワーク3に接続される車載ECU4に中継する中継装置としても機能する。すなわち、車載装置2は、車載ネットワーク3内における車載ECU4間のデータの中継処理、及び車両C外に位置する外部装置と、これら車載ECU4との間でのデータの中継処理を行う。
このように中継装置として機能する車載装置2は、車載ネットワーク3に接続される第1処理部21と、車載ネットワーク3には直接的に接続されず、外部装置から送信されるデータを受信する第2処理部22とを備える。第1処理部21及び第2処理部22のそれぞれの処理部が例えばマイコンで構成される場合、第1処理部21は車内側マイコンに相当し、第2処理部22は車外側マイコンに相当する。
これら第1処理部21(車内側マイコン)及び第2処理部22(車外側マイコン)は、例えばチャレンジレスポンス方式を用いたセキュリティ機能が実装されており、第1処理部21は、当該セキュリティ機能を用いて第2処理部22を定期的にセキュリティ検証(セキュリティ処置)することにより、第2処理部22の状態を監視する。外部装置による車両C外からのデータの流れ方向において、車外側(上流側)となる第2処理部22(車外側マイコン)に対し、車内側(下流側)に位置する第1処理部21(車内側マイコン)がセキュリティ処置を行うことにより、第2処理部22(車外側マイコン)の完全性を担保し、車外からのセキュリティ攻撃に対する耐性を備えることができる。
車載装置2は、例えば、制御系ECU等の車載機器、安全系ECU等の車載機器及び、BCU(Body Control Unit)等のボディ系の車載機器など、複数系統のセグメントを統括し、これらセグメント間での車載機器同士の通信を中継する。車載装置2は、例えばゲートウェイ又はイーサスイッチであり、レイヤ2スイッチ、レイヤ3スイッチ又はCANゲートウェイとして機能するものであってもよい。又は、車載装置2は、例えばヴィークルコンピュータ等の中央制御装置で構成され、車両C全体を制御する統合ECUであってもよい。
車載装置2は、第1処理部21及び第2処理部22を含む。車外側に位置する第2処理部22は、外部サーバ100又はダイアグ装置101等の外部装置から送信されたデータの受信、及びこれら外部装置へのデータの送信を行う。車内側に位置する第1処理部21は、車載ネットワーク3に接続される車載ECU4間にて送受信されるデータの中継処理に加え、第2処理部22が受信した外部装置からのデータの車載ECU4への中継処理、すなわち車載ECU4と第2処理部22との間での中継処理を行う。
本実施形態において、車載ネットワーク3に直接的に接続され、車内側に位置する第1処理部21は一つとしているが、これに限定されず、車載ネットワーク3に直接的に接続される第1処理部21(車内側処理部)は、複数個であってもよい。本実施形態において、車載ネットワーク3に直接的に接続されず、車外側に位置する第2処理部22は一つとしているが、これに限定されず、車載ネットワーク3に直接的に接続されず、車外側に位置する第2処理部22(車外側処理部)は、複数個であってもよい。この場合、第1処理部21は、複数の第2処理部22それぞれに対し、セキュリティ検証を行うものであってもよい。
これら第1処理部21及び第2処理部22は、データ用通信ライン201と検証用通信ライン203とによって、通信可能に接続される。すなわち、第1処理部21と第2処理部22との間の通信回路として、データ用通信ライン201及び検証用通信ライン203とによる並列回路が構成され、車載装置2は、このように二重化された通信回路を有する。
第1処理部21は、例えばマイコンにより構成され、第1制御部211、第1記憶部212、及び車内通信部213を含む。第1制御部211は、例えば、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、第1記憶部212に予め記憶されたプログラムP(プログラム製品)及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行う。
第1記憶部212は、例えば、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、プログラムP(プログラム製品)及び処理時に参照するデータが予め記憶してある。第1記憶部212に記憶されたプログラムP(プログラム製品)は、車載装置2が読み取り可能な記録媒体Mから読み出されたプログラムP(プログラム製品)を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータからプログラムP(プログラム製品)をダウンロードし、第1記憶部212に記憶させたものであってもよい。
車内通信部213は、例えばCANトランシーバにより構成され、CANの通信プロトコルを用いた入出力インターフェイスである。又は、車内通信部213は、イーサネットPHYにより構成され、イーサネット(Ethernet/登録商標)の通信プロトコルを用いた入出力インターフェイスであってもよい。第1処理部21は、車内通信部213を介して、車載ネットワーク3に接続される車載ECU4と通信可能に接続される。
第2処理部22は、例えばマイコンにより構成され、第2制御部221、第2記憶部222、及び車外通信部223を含む。第2制御部221は、例えば、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、第2記憶部222に予め記憶されたプログラムP(プログラム製品)及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行う。
第2記憶部222は、例えば、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、プログラムP(プログラム製品)及び処理時に参照するデータが予め記憶してある。第2記憶部222に記憶されたプログラムP(プログラム製品)は、車載装置2が読み取り可能な記録媒体Mから読み出されたプログラムP(プログラム製品)を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータからプログラムP(プログラム製品)をダウンロードし、第2記憶部222に記憶させたものであってもよい。
車外通信部223は、例えばCANトランシーバにより構成され、CANの通信プロトコルを用いた入出力インターフェイスである。又は、車内通信部213は、イーサネットPHYにより構成され、イーサネット(Ethernet/登録商標)の通信プロトコルを用いた入出力インターフェイスであってもよい。第2処理部22は、車外通信部223を介して、外部サーバ100(車外通信装置1)又はダイアグ装置101と通信可能に接続される。
本実施形態において、第1処理部21及び第2処理部22のそれぞれは、別個のマイコンにより構成されるとしたが、これに限定されない。車載装置2は、例えば、複数のCPUから成るマルチCPUを備え、当該マルチCPUにおける個々のCPUが、第1処理部21及び第2処理部22として機能するものであってもよい。
第1処理部21及び第2処理部22のそれぞれは、更に、データ用通信部202及び検証用通信部204を含む。第1処理部21と第2処理部22とは、それぞれのデータ用通信部202に接続されるデータ用通信ライン201を介して、通信可能に接続される。これらデータ用通信部202が、例えば、CANトランシーバで構成される場合、データ用通信ライン201はCANバスにより構成され、第1処理部21と第2処理部22との間のデータ通信は、CANのプロコトルを用いて行われる。これらデータ用通信部202が、例えば、イーサネット(登録商標)PHYで構成される場合、データ用通信ライン201はイーサネットケーブルにより構成され、第1処理部21と第2処理部22との間のデータ通信は、TCP/IPのプロコトルを用いて行われる。データ用通信ライン201を介して流れるデータは、外部サーバ100又はダイアグ装置101等の外部装置と、車載ネットワーク3に接続される車載ECU4との間にて送受信されるデータであり、車載装置2によって中継されるデータ(中継対象データ)である。
第1処理部21と第2処理部22とは、更に、それぞれの検証用通信部204に接続される検証用通信ライン203を介して、通信可能に接続される。当該検証用通信ライン203は、例えばシリアルケーブルにて構成され、この場合、検証用通信部204それぞれは、シリアル通信用IFにて構成される。検証用通信ライン203を介した第1処理部21と第2処理部22との間のデータ通信は、シリアル通信にて行われる。又は、検証用通信ライン203は、例えば、第1処理部21及び第2処理部22が実装される基板に設けられたランド等の導電パターンであってもよく、この場合、検証用通信部204は、第1処理部21及び第2処理部22に設けられた端子により構成される。又は、検証用通信ライン203及び検証用通信部204は、データ用通信ライン201及びデータ用通信部202と同様にCAN又はイーサネットに対応したものであってもよい。
検証用通信ライン203を介して流れるデータは、第1処理部21が第2処理部22に対し施すセキュリティ検証(セキュリティ処置)に関するデータであり、当該セキュリティ検証としてチャレンジレスポンス方式を用いる場合、認証要求、チャレンジ情報、及びレスポンス情報を含む。更に、検証用通信ライン203には、第1処理部21が第2処理部22を非活性化する際に出力する非活性化信号、又は第1処理部21が第2処理部22を復帰させる際に出力する復帰信号が流れるものであってもよい。
このように第1処理部21と第2処理部22との間の通信ラインは、外部装置との間で送受信される車外通信データが流れるデータ中継用のデータ用通信ライン201と、セキュリティ検証のためのデータが流れる検証用通信ライン203とを、別ライン(別系統)として構成される。これにより、車載装置2が担う中継処理を阻害することなく、すなわち中継装置として機能する車載装置2が実施する従来機能の処理能力を維持(データ中継用の帯域幅を確保)しつつ、当該車載装置2に実装される複数の処理部(マイコン)に対するセキュリティ処置を効率的に行うことができる。
図3は、車載装置2の第1処理部21及び第2処理部22の処理を例示するフローチャートである。車載装置2は、例えば車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、定常的に以下の処理を行う。車載装置2の第1処理部21(車内側マイコン)及び第2処理部22(車外側マイコン)一連の処理は、互いに連関して行われるものであるが、まずは第1処理部21(車内側マイコン)による処理を説明し、以降、第2処理部22(車外側マイコン)による処理を説明する。
第1処理部21(第1制御部211)は、第2処理部22からの検証依頼を取得したか否かを判定する(S101)。第1処理部21は、検証用通信ライン203を介して第2処理部22と通信可能に接続されており、当該検証用通信ライン203を介して第2処理部22からの検証依頼(認証要求)に関するデータ又はシグナルを取得(受信)する処理を周規定又は定常的に実施している。第1処理部21は、当該検証依頼(認証要求)の取得実績に基づき、第2処理部22からの検証依頼を取得したか否かを判定する。
第1処理部21は、更にデータ用通信ライン201を介して第2処理部22と通信可能に接続されており、外部サーバ100等の外部装置から送信され、第2処理部22が受信したデータ(車外通信データ)は、データ用通信ライン201を介して第2処理部22から第1処理部21に出力される。このように第1処理部21と第2処理部22とは、データ用通信ライン201及び検証用通信ライン203による異なる通信ラインにて二重化された通信経路にて通信可能に接続されている。これにより、データ用通信ライン201を介した車外通信データの中継処理に影響を与えることなく、検証用通信ライン203にて、検証依頼(認証要求)の通信等、セキュリティ検証のための処理を行うことができる。
第2処理部22からの検証依頼(認証要求)を取得していない場合(S101:NO)、第1処理部21は、再度S101の処理を実行すべくループ処理を行う。すなわち、第1処理部21は、第2処理部22から送信される検証依頼(認証要求)の待受け処理を継続するものであってよい。従って、第1処理部21は、第2処理部22から送信される検証依頼(認証要求)の待受け処理等と並行して、データ用通信ライン201を介して第2処理部22との間で送受信されるデータ(車外通信データ)の中継処理を行う。
第2処理部22からの検証依頼(認証要求)を取得した場合(S101:YES)、第1処理部21は、第2処理部22に対し、セキュリティ検証を実施する(S102)。第1処理部21は、第2処理部22からの検証依頼(認証要求)に関するデータ又はシグナルを取得(受信)した場合、当該検証依頼をトリガーとして、第2処理部22に対しセキュリティ検証を実施する。ただし、第1処理部21は、第2処理部22からの検証依頼(認証要求)をトリガーにセキュリティ検証を実施するものに限定されず、第1処理部21自身が所定の周期にて、自発的に第2処理部22に対しセキュリティ検証を実施(開始)するものであってもよい。第1処理部21は、第2処理部22に対するセキュリティ検証と並行して、データ用通信ライン201を介して第2処理部22との間で送受信されるデータ(車外通信データ)の中継処理を行うものであってもよい。
第1処理部21は、当該セキュリティ検証を行うにあたり、例えば、チャレンジレスポンス方式を用いるものであってもよい。チャレンジレスポンス方式を用いる場合、第1処理部21は、チャレンジ情報を生成し、生成したチャレンジ情報を第2処理部22に送信する。更に、第1処理部21は、当該生成したチャレンジ情報に対応するレスポンス情報についても生成し、生成したレスポンス情報を第1記憶部212に記憶する。
本実施形態において、第1処理部21は、セキュリティ検証としてチャレンジレスポンス方式を用いるとしたが、これに限定されず、第1処理部21は、予め定められているパスワード認証、又は共通鍵暗号等を用いて、セキュリティ検証を行うものであってもよい。すなわち、第1処理部21及び第2処理部22は、共に同種のセキュリティ機能が実装されており、当該セキュリティ機能を用いて、第1処理部21は、第2処理部22のセキュリティ検証(セキュリティ処置)を行うものであってもよい。
第1処理部21は、セキュリティ検証に対する第2処理部22からの応答データを取得する(S103)。第1処理部21は、セキュリティ検証として行ったチャレンジ情報の生成及び第2処理部22への送信に対し、第2処理部22がチャレンジ情報に基づき生成した応答データを、第2処理部22から取得(受信)する。
第1処理部21は、取得した応答データが正当であるか否かを判定する(S104)。例えば、チャレンジレスポンス方式を用いる場合、第1処理部21は、第2処理部22から取得(受信)した応答データ(レスポンス情報)と、自身(第1処理部21)がチャレンジ情報に基づき生成した応答データ(レスポンス情報)とを比較し、これら応答データ(レスポンス情報)が同一であるか否かを判定する。
これら応答データ(レスポンス情報)が同一である場合、第1処理部21は、第2処理部22から取得(受信)した応答データ(レスポンス情報)は、正当(正常)であると判定する。この際、第1処理部21は、第2処理部22に対するチャレンジレスポンス認証が成功したと判定する。これら応答データ(レスポンス情報)が同一でない場合、すなわち第2処理部22から取得(受信)した応答データ(レスポンス情報)と、自身(第1処理部21)がチャレンジ情報に基づき生成した応答データ(レスポンス情報)とが、異なる場合、第1処理部21は、第2処理部22から取得(受信)した応答データ(レスポンス情報)は、失当(異常)であると判定する。この際、第1処理部21は、第2処理部22に対するチャレンジレスポンス認証が失敗したと判定する。
第1処理部21は、チャレンジ情報を出力(送信)後、第2処理部22から所定期間、応答データ(レスポンス情報)を取得できなかった場合についても、応答データ(レスポンス情報)は、失当(異常)であると判定するものであってもよい。第2処理部22が、例えば車外からの不正なアクセス等(セキュリティ攻撃)によって異常な状態にある場合、チャレンジレスポンス方式に対するセキュリティ機能そのものが、既に失陥していることも想定される。このような場合であっても、レスポンス情報を所定期間、取得できかった際、応答データは失当であると判定することにより、第1処理部21は、第2処理部22が異常な状態にあることを効率的に判定することができる。
応答データが正当であると判定した場合(S104:YES)、第1処理部21は、第2処理部22は正常であると判定する(S105)。第1処理部21は、応答データが正当(正常)であると判定した場合、第2処理部22に対するチャレンジレスポンス認証を成功させ、第2処理部22は正常であると判定する。第1処理部21は、当該チャレンジレスポンス認証が成功した旨を示す判定結果を、セキュリティ検証を行った日時又はタイムスタンプ等を示す時点情報と関連付けて、第1記憶部212に履歴情報として記憶するものであってもよい。第1処理部21は、S105の実行後、再度S101からの処理を実行すべくループ処理を行うものであってもよい。
応答データが正当でないと判定した場合(S104:NO)、第1処理部21は、第2処理部22は異常であると判定する(S1041)。第1処理部21は、応答データが正当でない、すなわち失当(異常)と判定した場合、第2処理部22に対するチャレンジレスポンス認証を失敗させ、第2処理部22は異常であると判定する。第1処理部21は、当該チャレンジレスポンス認証が失敗した旨を示す判定結果を、セキュリティ検証を行った日時又はタイムスタンプ等を示す時点情報と関連付けて、第1記憶部212に履歴情報として記憶するものであってもよい。
第1処理部21は、第2処理部22を非活性化する(S1042)。第1処理部21は、セキュリティ検証の結果として異常であると判定した第2処理部22を非活性化するための処理を行う。当該非活性化するための処理は、例えば、第2処理部22への電力供給の遮断、第2処理部22の強制的停止(シャットダウン)、第2処理部22とのデータ用通信ライン201の遮断、又は当該データ用通信ライン201に接続される通信ポートの無効化を含む。
非活性化するための処理として第2処理部22への電力供給の遮断を行う場合、第1処理部21は、第2処理部22に対し給電する電力線に設けられたリレー又は半導体スイッチをオフにするものであってもよい。非活性化するための処理として第2処理部22の強制的停止(シャットダウン)を行う場合、第1処理部21は、検証用通信ライン203を介して、第2処理部22に対し強制的停止シグナルを出力(送信)するものであってもよい。非活性化するための処理として第2処理部22とのデータ用通信ライン201の遮断を行う場合、第1処理部21は、データ用通信ライン201に設けられたリレー又は半導体スイッチをオフにするものであってもよい。非活性化するための処理としてデータ用通信ライン201に接続される通信ポートの無効化を行う場合、第1処理部21は、自部に設けられたデータ用通信部202への電力の供給を停止するものであってもよい。この場合であっても、第1処理部21は、検証用通信部204の活性化状態を維持し、検証用通信ライン203を介した第2処理部22との通信可能状態を継続するものであってもよい。第1処理部21は、第2処理部22を非活性化するために行った処置内容を、チャレンジレスポンス認証が失敗した旨を示す判定結果と関連付けて、第1記憶部212に履歴情報として記憶するものであってもよい。
第2処理部22(第2制御部221)は、第1処理部21へ検証依頼を出力する(T101)。第2処理部22は、例えば、周期的又は定期的に、第1処理部21へ検証依頼(認証要求)を出力(送信)する。第2処理部22は、検証用通信ライン203を介して、検証依頼(認証要求)を第1処理部21に出力(送信)するものであってもよい。
第2処理部22は、第1処理部21によるセキュリティ検証に応じて、応答データを生成する(T102)。セキュリティ検証としてチャレンジレスポンス方式を用いる場合、第2処理部22は、第1処理部21から出力(送信)されたチャレンジ情報を取得(受信)し、当該チャレンジ情報に基づきレスポンス情報を生成する。第2処理部22は、チャレンジ情報と、第2処理部22にて設定されているパスワード(第2記憶部222に記憶されているパスワード)とに基づき、ハッシュ値を生成(変換)することでレスポンス情報を生成するものであってもよい。
第2処理部22は、第1処理部21へ、生成した応答データを出力する(T103)。第2処理部22は、生成した応答データ(レスポンス情報)を、検証用通信ライン203を介して、第1処理部21に出力(送信)するものであってもよい。
第2処理部22は、第1処理部21による非活性化処理により非活性化状態に遷移する(T104)。セキュリティ検証の結果に基づき、第1処理部21が、第2処理部22は異常であると判定(チャレンジレスポンス認証が失敗)した場合、第1処理部21は、第2処理部22を非活性化するための処置を行う。当該処置によって、第2処理部22は、非活性化状態に遷移するものとなる。これにより、例えば車外からの不正なアクセス等(セキュリティ攻撃)によって異常な状態となった第2処理部22を、車載ネットワーク3から実質的に切り離す(分離)ことができ、第2処理部22によって車両Cの制御(車両Cシステム)に影響が発生することを防止することができる。セキュリティ検証の結果に基づき、第1処理部21が、第2処理部22は正常であると判定(チャレンジレスポンス認証が成功)した場合、第1処理部21は、第2処理部22を非活性化するための処置を行わないため、第2処理部22の活性化状態が維持(継続)される。
(実施形態2)
図4は、実施形態2(復帰信号)に係る車載装置2の第1処理部21及び第2処理部22の処理を例示するフローチャートである。車載装置2は、実施形態1と同様に例えば車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、定常的に以下の処理を行う。車載装置2の第1処理部21(車内側マイコン)及び第2処理部22の(車外側マイコン)一連の処理は、互いに連関して行われるものであるが、まずは第1処理部21(車内側マイコン)による処理を説明し、以降、第2処理部22(車外側マイコン)による処理を説明する。
図4は、実施形態2(復帰信号)に係る車載装置2の第1処理部21及び第2処理部22の処理を例示するフローチャートである。車載装置2は、実施形態1と同様に例えば車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、定常的に以下の処理を行う。車載装置2の第1処理部21(車内側マイコン)及び第2処理部22の(車外側マイコン)一連の処理は、互いに連関して行われるものであるが、まずは第1処理部21(車内側マイコン)による処理を説明し、以降、第2処理部22(車外側マイコン)による処理を説明する。
第1処理部21は、第2処理部22からの検証依頼を取得したか否かを判定する(S201)。第1処理部21は、実施形態1の処理S101と同様に、S201の処理を行う。
第2処理部22からの検証依頼(認証要求)を取得していない場合(S201:NO)、第1処理部21は、所定期間、経過したかを判定する(S2011)。例えば、チャレンジレスポンス方式を用いる場合、第2処理部22は周期的に検証依頼(認証要求)を第1処理部21に出力するように構成されており、第1処理部21は、当該周期に応じて、所定期間、第2処理部22からの検証依頼(認証要求)を取得していない状態が継続したか否かを判定する。当該所定期間は、例えば、第2処理部22が検証依頼を出力(送信)する際の送信周期の3倍の期間として、予め設定され、第1記憶部212に記憶されているものであってもよい。第1処理部21は、第2処理部22が検証依頼を出力(送信)する際の送信周期が経過する度に、第2処理部22からの検証依頼を取得(受信)したか否かを検証依頼の受信履歴として第1記憶部212に記憶するものであってもよい。
所定期間、経過していないと判定した場合(S2011:NO)、第1処理部21は、再度S101の処理を実行すべくループ処理を行う。すなわち、第1処理部21は、第2処理部22から送信される検証依頼(認証要求)の待受け処理を継続するものであってよい。
所定期間、経過したと判定した場合(S2011:YES)、第1処理部21は、第2処理部22は異常であると判定する(S2041)。第1処理部21は、第2処理部22が検証依頼(認証要求)を出力しない状態が所定期間よりも経過した場合、第2処理部22は車外からの不正なアクセス等(セキュリティ攻撃)によって異常な状態にあり、セキュリティ機能が既に失陥していると判定するものであってもよい。
第2処理部22からの検証依頼(認証要求)を取得した場合(S201:YES)、第1処理部21は、第2処理部22に対し、セキュリティ検証を実施する(S202)。第1処理部21は、セキュリティ検証に対する第2処理部22からの応答データを取得する(S203)。第1処理部21は、取得した応答データが正当であるか否かを判定する(S204)。応答データが正当であると判定した場合(S204:YES)、第1処理部21は、第2処理部22は正常であると判定する(S205)。第1処理部21は、実施形態1の処理S102からS105と同様に、S202からS205の処理を行う。
応答データが正当でないと判定した場合(S204:NO)、又は上述のとおり所定期間、経過したと判定した場合(S2011:YES)、第1処理部21は、第2処理部22は異常であると判定する(S2041)。第1処理部21は、実施形態1の処理S1041と同様に、S2041の処理を行う。
第1処理部21は、第2処理部22の復帰処理を実行する(S2042)。第1処理部21は、第2処理部22は異常であると判定した場合、第2処理部22を復帰させるための復帰処理を行う。第2処理部22を復帰させるための復帰処理は、例えば、第2処理部22への電力の遮断及び再供給による第2処理部22の再起動、又は第2処理部22に対し復帰信号の出力を含む。
復帰処理として、第2処理部22への電力の遮断及び再供給による第2処理部22の再起動を行う場合、第1処理部21は、第2処理部22に対し給電する電力線に設けられたリレー又は半導体スイッチをオフにし、再度オンにするものであってもよい。第2処理部22に対する復帰信号は、例えば、第2処理部22のリブート、初期化、又は、第1処理部21の記憶部に予め記憶されているプログラム及び当該プログラムの実行指示を含む信号であってもよい。当該復帰信号は、検証用通信ライン203を介して、第1処理部21から第2処理部22に出力(送信)されるものであってもよい。第1処理部21は、復帰信号を第2処理部22に対し、複数回(所定回数)に亘って出力したにもかからず、第2処理部22に対するセキュリティ検証の結果(検証結果)が異常となることが継続した場合、実施形態1と同様に第2処理部22を非活性化するものであってもよい。
第2処理部22は、第1処理部21へ検証依頼を出力する(T201)。第2処理部22は、第1処理部21によるセキュリティ検証に応じて、応答データを生成する(T202)。第2処理部22は、第1処理部21へ、生成した応答データを出力する(T203)。第2処理部22は、実施形態1の処理T101からT103と同様に、T201からT203の処理を行う。
第2処理部22は、第1処理部21によって施された復帰処理により、復帰処理を実行する(T204)。セキュリティ検証の結果に基づき、第1処理部21が、第2処理部22は異常であると判定(チャレンジレスポンス認証が失敗)した場合、第1処理部21は、第2処理部22を復帰させるための処置を行う。当該処置によって、第2処理部22は、例えば、再起動、第1処理部21から送信された正常なプログラムのロード及び実行等を行うことにより、復帰処理を実行する。これにより、例えば車外からの不正なアクセス等(セキュリティ攻撃)によって異常な状態となった第2処理部22を正常な状態に遷移(復帰)させることができる。
(実施形態3)
図5は、実施形態3(アクチュエータ5に接続)に係る車載システムSのシステム構成を例示する模式図である。本実施形態においては、モータ等のアクチュエータ5に直接、接続される車載ECU4についても、実施形態1にて説明した車載装置2と同様に、第1処理部41及び第2処理部42を含む。車載ECU4の第1処理部41及び第2処理部42の構成及び処理は、車載装置2の第1処理部21及び第2処理部22の構成及び処理と同様である。
図5は、実施形態3(アクチュエータ5に接続)に係る車載システムSのシステム構成を例示する模式図である。本実施形態においては、モータ等のアクチュエータ5に直接、接続される車載ECU4についても、実施形態1にて説明した車載装置2と同様に、第1処理部41及び第2処理部42を含む。車載ECU4の第1処理部41及び第2処理部42の構成及び処理は、車載装置2の第1処理部21及び第2処理部22の構成及び処理と同様である。
車載ECU4の第1処理部41は、車載ネットワーク3に直接的に接続されず、モータ等のアクチュエータ5に直接的に接続される。車載ECU4の第2処理部42は、車載ネットワーク3に直接的に接続される。車載ECU4の第1処理部41及び第2処理部42は、実施形態1の車載装置2と同様にデータ用通信ライン201及び検証用通信ライン203により通信可能に接続される。
車載ECU4に含まれる第1処理部41及び第2処理部42は、実施形態1の車載装置2と同様にセキュリティ検証を行うものであり、アクチュエータ5側に位置する第1処理部41は、車載ネットワーク3側に位置する第2処理部42に対し、チャレンジレスポンス方式を用いてセキュリティ検証(セキュリティ処置)を行う。これにより、複数の処理部(マイコン)が実装される車載ECU4において、車載ネットワーク3側の第2処理部42の完全性を担保し、車載ネットワーク3を介した車外からのセキュリティ攻撃に対する耐性を備えることができる。
本実施形態において、第2処理部42は車載ネットワーク3側に位置し、第1処理部41はアクチュエータ5側に位置するとしたが、これに限定されない。第1処理部41が車載ネットワーク3側に位置し、第2処理部42がアクチュエータ5側に位置するものであってもよい。これにより、複数の処理部(マイコン)が実装される車載ECU4において、アクチュエータ5側の第2処理部42の完全性を担保し、アクチュエータ5側からのセキュリティ攻撃に対する耐性を備えることができる。
今回開示された実施形態は全ての点で例示であって、制限的なものではないと考えられるべきである。本開示の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
C 車両
S 車載システム
100 外部サーバ
101 ダイアグ装置
1 車外通信装置
11 アンテナ
2 車載装置(中継装置)
21 第1処理部(車内側マイコン)
211 第1制御部
212 第1記憶部
213 車内通信部
22 第2処理部(車外側マイコン)
221 第2制御部
222 第2記憶部
223 車外通信部
M 記録媒体
P プログラム(プログラム製品)
201 データ用通信ライン
202 データ用通信部
203 検証用通信ライン
204 検証用通信部
3 車載ネットワーク
31 通信ケーブル
4 車載ECU
41 第1処理部
42 第2処理部
5 アクチュエータ
S 車載システム
100 外部サーバ
101 ダイアグ装置
1 車外通信装置
11 アンテナ
2 車載装置(中継装置)
21 第1処理部(車内側マイコン)
211 第1制御部
212 第1記憶部
213 車内通信部
22 第2処理部(車外側マイコン)
221 第2制御部
222 第2記憶部
223 車外通信部
M 記録媒体
P プログラム(プログラム製品)
201 データ用通信ライン
202 データ用通信部
203 検証用通信ライン
204 検証用通信部
3 車載ネットワーク
31 通信ケーブル
4 車載ECU
41 第1処理部
42 第2処理部
5 アクチュエータ
Claims (11)
- 車載ネットワークを有する車両に搭載される車載装置であって、
前記車載ネットワークに接続される第1処理部と、
前記第1処理部と通信可能に接続される第2処理部とを備え、
前記第1処理部は、前記第2処理部に対しセキュリティ検証を行う
車載装置。 - 前記第1処理部は、前記セキュリティ検証に対する前記第2処理部からの応答データを取得し、
取得した応答データに基づき、前記第2処理部が正常であるか否かを判定する
請求項1に記載の車載装置。 - 前記第1処理部は、チャレンジレスポンス方式を用いて、前記第2処理部に対しセキュリティ検証を行う
請求項1又は請求項2に記載の車載装置。 - 前記第1処理部は、前記第2処理部からの検証依頼に応じて、前記第2処理部に対しセキュリティ検証を行う
請求項1から請求項3のいずれか1項に記載の車載装置。 - 前記第1処理部は、前記第2処理部からの検証依頼を所定期間、取得しなかった場合、前記第2処理部は異常であると判定する
請求項4に記載の車載装置。 - 前記第2処理部は、前記車両外の外部装置からの車外通信データを取得し、
前記第1処理部及び前記第2処理部は、前記車外通信データが流れるデータ用通信ラインと、前記セキュリティ検証のためのデータが流れる検証用通信ラインとにより接続される
請求項1から請求項5のいずれか1項に記載の車載装置。 - 前記第1処理部は、前記セキュリティ検証の結果に基づき、前記第2処理部は異常であると判定した場合、前記第2処理部を非活性化するための処理を行う
請求項1から請求項6のいずれか1項に記載の車載装置。 - 前記第1処理部は、前記セキュリティ検証の結果に基づき、前記第2処理部は異常であると判定した場合、前記第2処理部を復帰させるための復帰処理を行う
請求項1から請求項7のいずれか1項に記載の車載装置。 - 前記車載ネットワークには、複数の車載ECUが接続され、
前記第1処理部は、前記第2処理部から取得したデータを、前記車載ネットワークを介して前記車載ECUに中継する
請求項1から請求項8のいずれか1項に記載の車載装置。 - 車載ネットワークを有する車両に搭載され、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備えるコンピュータに、
前記第1処理部にて、前記第2処理部に対しセキュリティ検証を行う
処理を実行させる情報処理方法。 - 車載ネットワークを有する車両に搭載され、前記車載ネットワークに接続される第1処理部と、前記第1処理部と通信可能に接続される第2処理部とを備えるコンピュータに、
前記第1処理部にて、前記第2処理部に対しセキュリティ検証を行う
処理を実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022030127A JP2023125813A (ja) | 2022-02-28 | 2022-02-28 | 車載装置、プログラム及び情報処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022030127A JP2023125813A (ja) | 2022-02-28 | 2022-02-28 | 車載装置、プログラム及び情報処理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023125813A true JP2023125813A (ja) | 2023-09-07 |
Family
ID=87887563
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022030127A Pending JP2023125813A (ja) | 2022-02-28 | 2022-02-28 | 車載装置、プログラム及び情報処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2023125813A (ja) |
-
2022
- 2022-02-28 JP JP2022030127A patent/JP2023125813A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101393539B1 (ko) | 자동차 통합 네트워크 시스템 | |
| US9219802B2 (en) | Gateway and in-vehicle network system | |
| US9648023B2 (en) | Vehicle module update, protection and diagnostics | |
| US6847864B2 (en) | Vehicular communications system initializing abnormal control unit | |
| JP5702829B2 (ja) | 中継装置 | |
| CN106888123B (zh) | 一种can报文丢失的监测方法 | |
| US11784871B2 (en) | Relay apparatus and system for detecting abnormalities due to an unauthorized wireless transmission | |
| CN103248514A (zh) | 用于车内lan网络管理的故障检测和缓解 | |
| US20130285445A1 (en) | Circuit Arrangement Comprising a Monitoring Device | |
| CN111226417A (zh) | 车载通信装置、车载通信系统以及车载通信方法 | |
| JP2009253736A (ja) | ネットワークシステム | |
| JP4572730B2 (ja) | 車両用usbシステム及び車載無線通信機器 | |
| EP3761568B1 (en) | Method of controlling communication over a local interconnect network bus | |
| JP2007272709A (ja) | 動作監視ユニット | |
| KR101744998B1 (ko) | 리프로그래밍 제어모듈 및 이를 이용한 리프로그래밍 시스템 및 방법 | |
| JP7177272B2 (ja) | セキュリティ処理装置 | |
| JP2023125813A (ja) | 車載装置、プログラム及び情報処理方法 | |
| JP5720618B2 (ja) | セキュリティ装置 | |
| CN115150007B (zh) | 一种数字钥匙系统监测方法、装置、设备及存储介质 | |
| JP5405927B2 (ja) | ネットワークノード | |
| US10841284B2 (en) | Vehicle communication network and method | |
| CN113448299A (zh) | 一种车载网关控制器、信息处理方法及汽车 | |
| US20150377204A1 (en) | Vehicular electronic control unit | |
| JP2023125814A (ja) | 車載装置、プログラム及び情報処理方法 | |
| JP2009303457A (ja) | 電力供給制御装置 |