JP5696669B2 - ゲートウェイ装置、及び、車両通信システム - Google Patents

ゲートウェイ装置、及び、車両通信システム Download PDF

Info

Publication number
JP5696669B2
JP5696669B2 JP2012004163A JP2012004163A JP5696669B2 JP 5696669 B2 JP5696669 B2 JP 5696669B2 JP 2012004163 A JP2012004163 A JP 2012004163A JP 2012004163 A JP2012004163 A JP 2012004163A JP 5696669 B2 JP5696669 B2 JP 5696669B2
Authority
JP
Japan
Prior art keywords
data
vehicle
area network
local area
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012004163A
Other languages
English (en)
Other versions
JP2013141947A (ja
Inventor
佳紀 高居
佳紀 高居
岸上 友久
友久 岸上
浩二 藤木
浩二 藤木
康雅 今井
康雅 今井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2012004163A priority Critical patent/JP5696669B2/ja
Publication of JP2013141947A publication Critical patent/JP2013141947A/ja
Application granted granted Critical
Publication of JP5696669B2 publication Critical patent/JP5696669B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Stored Programmes (AREA)

Description

本発明は、車両の電子制御装置に対する外部からの不正なソフトウェエア書き換え等を防止するゲートウェイ装置および車両通信システムに関する。
近年、自動車の排出ガスに係る各種検出値が環境基準を満たしているかどうかを車載機器によって診断し、診断結果を故障診断ツール等の外部装置に表示できるように、外部装置との間でデータ通信を行うためのインターフェース(OBD−IIポート)を、運転席の近くに装備することが義務付けられている。
OBD−IIポートは、上記のように、本来、排出ガス規制に関する診断機能を提供するインターフェースであったが、車両の電子制御技術の進歩や電子制御装置(ECU)の増加等に伴って様々な機能の追加に対応するものとなっている。例えば、ABSやエアバッグのようなセーフティ機能に関する故障診断、ドアロックやホーン(警笛)などの盗難防止機能の状態確認や制御・操作、車載ソフトウェアの不具合を修正するためのECU上のソフトウェア書き換え、スマートキーを紛失したときの鍵の初期化機能などが必要なときに、それぞれ対応する各種の外部装置に接続されるようになっている。
このようなOBD−IIポートの汎用的な使われ方は、利便性を有する一方、悪意をもった使用者(攻撃者)によって、ECU上のソフトウェア書き換えといったソフトウェア攻撃が容易に行えるという脆弱性を有し、例えばエンジンやブレーキ等の車両制御に係るECUを書き換えられた場合には被害の深刻度が致命的に高くなる。
これに対し、正規に使用される外部装置(正規ツール)を識別するためのコードを予め決めておき、外部装置から受信したコードが正規のものであるか否かを判定し、これに認証できた場合に限り、ソフトウェアの書き換えを行い、認証できない場合には、ソフトウェアの書き換えを中止する認証処理をECUに実行させる技術がある(例えば、特許文献1参照)。
特開平7−311603号公報
しかしながら、上述のように車両に搭載されるECUの数は少なくないので、全てのECUに上記認証処理の実行を課すには、既存の車載システムに大幅な設計変更を要し、コストや労力が多大にかかってしまう。
これに対しては、OBD−IIポートと上記ECU(ひいては、複数のECUがそれぞれ接続されてなる車内ローカルエリアネットワーク)との間に、両者のデータ通信を仲介するゲートウェイ装置を設け、上記認証処理をゲートウェイ装置に実行させ、これに認証できた受信データだけを車内ローカルエリアネットワーク上に送出する構成を採ることが考えられる。
ところが、このような構成においても、OBD−IIポートと車内ローカルエリアネットワークとの間では不正対策が施されるが、OBD−IIポートを介さずに直接、車内ローカルエリアネットワーク上の通信線に、不正に使用される外部装置(不正ツール)が接続された場合に、認証処理を経ずにECU上のソフトウェア書き換えが可能な状態となり、このような不正使用に対処できないという問題がある。
本発明は、上記問題点を解決するためになされたものであり、既存のシステムに大幅な設計変更を行うことなく、車内ローカルエリアネットワーク上の電子制御装置へのソフトウェア攻撃を阻止することを目的とする。
請求項1に記載のゲートウェイ装置は、複数の電子制御装置がそれぞれ接続されてなる車内ローカルエリアネットワーク上に設けられ、車内ローカルエリアネットワーク間のデータ通信を行う車内通信手段と、外部装置との間でデータ通信を行うための通信ポートを介して予め設定された識別子を有する対象データを受信する外部受信手段と、制御手段とを備える。なお、制御手段は、外部受信手段にて通信ポートを介して受信した対象データのうち、予め設定された認証手順に従って認証した対象データである認証済みデータだけを、車内ローカルエリアネットワーク上の電子制御装置に送信する認証送信処理を少なくとも行う。
このような構成において、制御手段が、車内通信手段にて車内ローカルエリアネットワークを介して上記識別子を有するデータを受信すると、そのデータの受信を無効にするための強制コマンドを車内ローカルエリアネットワーク上の電子制御装置に送信する受信無効化処理を実行するようにゲートウェイ装置を構成した。
このように構成されたゲートウェイ装置では、自装置から車内ローカルエリアネットワークに送出したもの以外の対象データについて、車内ローカルエリアネットワーク上の電子制御装置によるそのデータの受信を強制的に無効にできるため、各々の電子制御装置が認証処理を行うことなく、不正ツールによるデータ改ざん等を防止することが可能となる。
従って、本発明によれば、既存のシステムに大幅な設計変更を行うことなく、車内ローカルエリアネットワーク上の電子制御装置へのソフトウェア攻撃を阻止することができる。
なお、上記識別子は、通信ポートを介して受信し得るデータを少なくとも識別するためのものであればよい。また、本発明のゲートウェイ装置では、通信ポートを介して受信したデータに、上記認証送信処理によって認証されて車内ローカルエリアネットワークに送出されたデータを識別するために上記識別子(第1識別子)とは異なる識別子(第2識別子)を付加して、送信してもよい。なお、制御手段は、第2識別子を付加する際に、第1識別子を残してもよいし、第1識別子に第2識別子を上書きしてもよい。
また、対象データは、前述のように各種機能を実現するために必要なデータであればよい。例えば、請求項2に記載のように、対象データは、電子制御装置に記憶されているプログラムを書き換えるためのリプログラムデータであってもよい。この場合、強制コマンドは、プログラムの書き換えをキャンセルするコマンドであれば、認証送信処理を経ていないリプログラムデータによるECU上のソフトウェア書き換えを防止することができる。
また、対象データは、複数の電子制御装置のうち予め決められた電子制御装置に対するデータであってもよい。例えば、請求項3に記載のように、対象データは、このような対象制御装置に対するリプログラムデータであって、対象制御装置が車両のイグニッションスイッチがオン状態である場合に限り作動する装置であれば、制御手段は、車両のイグニッションスイッチがオン状態からオフ状態に変更されると、認証送信処理および受信無効化処理を終了するように構成してもよい。
このような構成によれば、イグニッションスイッチがオフ状態であれば、ECU上のソフトウェア書き換えがなされないことから、制御手段に常時処理(認証送信処理または受信無効化処理)を実行させる場合と比較して、不正ツールによるソフトウェア攻撃から電子制御装置を守りつつ、エンジン停止中の消費電力を抑制することができる。
また、本発明は、車両通信システムは、複数の電子制御装置がそれぞれ接続されてなる車内ローカルエリアネットワークと、車内ローカルエリアネットワーク上に設けられたゲートウェイ装置とを備えた車両通信システムとして捉えることもできる。具体的には、請求項4に記載のように、ゲートウェイ装置は、外部装置との間でデータ通信を行うための通信ポートを介して予め設定された識別子を有する対象データを受信すると、予め設定された認証手順に従って認証した対象データである認証済みデータだけを車内ローカルエリアネットワーク上の電子制御装置に送信する認証送信処理を行う。
さらに、ゲートウェイ装置は、車内ローカルエリアネットワークを介して上記識別子を有するデータを受信すると、そのデータの受信を無効にするための強制コマンドを車内ローカルエリアネットワーク上の電子制御装置に送信する。電子制御装置は、車内ローカルエリアネットワークを介して強制コマンドを受信すると、その強制コマンドが示す対象データに基づく制御をキャンセルする。
このような車両通信システムによっても、請求項1に記載の発明と同等の効果を得ることができる。
なお、電子制御装置が強制コマンドを受信した場合、対象データに基づく制御(例えば、プログラムの書き換え等)を未だ開始していない状態であれば、その開始を禁止すればよいし、実行中の状態であれば、その実行を少なくとも停止すればよい。また、対象データを破棄することも望ましい。例えば、プログラムの書き換えを実行中または書き換え済みであって、元のプログラムに復元可能であれば、その復元に必要な処理を実行することが望ましい。復元不能であれば、その旨を表す情報をゲートウェイ装置に送信する方法も考えられる。この場合、ゲートウェイ装置または車両通信システムは、運転者または車外者にその情報を報知するための手段を備えることが望ましい。
車両通信システムの構成例を示す概略図である。 ゲートウェイ装置の構成例を示すブロック図である。 制御手段が行う処理の一例を示すフローチャートである。 車両通信システムの動作例を説明するための説明図である。
以下に、本発明が適用された実施形態の車両通信システムとしての車両制御システムについて説明する。
[全体構成]
本実施形態の車両制御システム1は、図1に示すように、必要なときにOBD−II対応の診断機3に専用ケーブルで接続されるOBD−IIポート4を経由して、診断機3に接続される車内ローカルエリアネットワーク(以下「車載LAN」と称する)5と、車載LAN5に接続された複数の電子制御装置(以下「ECU」と称する)7,8,9,…とを備える。
OBD−II対応の診断機3は、前述のように、自動車の排出ガス規制診断や故障診断、ソフトウェア書き換え等を行うことができる装置であって、OBD−IIポート4を介して車載LAN5とECU7,8,9,…とに接続されてデータ通信を行うことにより、ECU7,8,9,…から送られてくる診断結果をディスプレイに表示したり、ECU7,8,9,…上のソフトウェア書き換えを行ったりする。また、車両制御システム1における盗難防止機能の状態確認や制御・操作、スマートキーを紛失したときの鍵の初期化を行うこともできる。
OBD−IIポート4は、前述のように、自動車の運転席の近く(ハンドルの周辺)に設置されるコネクタであり、DLC3(Data Link Connector 3)という名称で規定された16ピンの形状とピン配置で構成されている。なお、OBD(On Board Diagnosis)とは、車載LANとECUへの接続インターフェースを搭載することを義務付ける規制を意味することもあり、OBD−IIはOBD−I規制の更新版であることからその名が付けられている。
そして、例えば、OBD−II対応の診断機3は、車両制御システム1に対して、特定の接続手順を利用してOBD−IIインターフェース(後述するGW−ECU7)に問い合わせを行うと、問い合わせに応じて車両制御システム1がOBD−IIポート4を介して診断結果または異常情報を送信する。なお、このような応答情報としては、車載センサの検出値や各種装置の状態値、現在自動車のディスプレイに表示されている異常コード、異常発生時に自動的に保存されたデータなどがある。
また、例えば、OBD−II対応の診断機3は、車両制御システム1に対して、特定の接続手順を利用して後述する認証処理を受けると、OBD−IIポート4を介して認証されたデータを車載LAN5に送出することで、ECU7,8,9,…に記憶されているデータやプログラムを書き換えたり、消去したりすることができる。以下では、このように車両制御システム1がOBD−IIポート4を介して受信し得るデータ、またはECU7,8,9,…上のソフトウェア書き換え(あるいは消去)が可能なデータを対象データと称する。なお、対象データには、車両制御システム1が他の種類のデータと識別するための識別子(以下では、他の識別子と区別するために「第1識別子」という)が含まれている。
[車載LANの構成]
車載LAN5は、通信線10を介して相互に接続された複数のECU7,8,9,…が、予め定められたプロトコルに従ってデータ通信を行うように構築されている。プロトコルとしては、例えばCAN(Control Area Network)やそれに類似する規格が用いられる。例えばCAN通信では、フレーム毎にIDを持っており、IDが小さいほど、フレームを通信線10に流すための優先権が強い。例えば、ID4のフレームとID8のフレームとが同時に送信されようとする場合、ID8のフレームはID4のフレームが送信されたことを確認した後、送信されることになる。前述の第1識別子は、例えばこのIDに付されることができる。
また、車載LAN5としては、車両制御を行うECUが接続される制御系の車載LANや、ボデー制御を行うECUが接続されるボデー系の車載LAN、音響,画像,通信に関するECUが接続される車載LAN、盗難防止に関わるECUが接続されるイモビ系の車載LAN等が挙げられる。車載LAN5は、これらが全て同じプロトコルで通信可能に接続されていてもよいし、系列毎に異なるプロトコルで通信し、系列間の通信を仲介するECUが設けられる構成であってもよい。
ECU7,8,9,…は、いずれもCPU,メモリ等からなる周知のマイクロコンピュータ(以下「マイコン」と略す)を中心に構成され、車載LAN5の通信線10を介して通信を行う通信回路、自身に割り当てられた機能を果たすために必要な各種信号を入出力するためのI/O等を備えている。
例えば、ECU8は、エンジン制御を行うECUであり、ECU8のマイコン(CPU)は、少なくとも、メモリに記憶されたプログラム及びデータに基づいて、運転者のアクセル踏込量に応じた加減速が得られるように、内燃機関のスロットル開度を調整するスロットルアクチュエータ等に対して駆動命令を出力することで、内燃機関の駆動力を制御するように構成されている。
また例えば、ECU9は、ブレーキ制御を行うECUであり、ECU9のマイコン(CPU)は、少なくとも、メモリに記憶されたプログラム及びデータに基づいて、運転者のブレーキペダル踏込量に応じた制動力が得られるように、ブレーキ油圧回路に備えられた増圧制御弁・減圧制御弁を開閉するブレーキアクチュエータを駆動することでブレーキ力を制御するように構成されている。
また、車載LAN5において、これらECU8やECU9は、自身に接続された各種センサの検出値から得られる運転状態(あるいは制動状態)を表すデータを、車載LAN5の通信線10に送出するとともに、例えばクルーズコントロール等の走行制御を行うECUから車載LAN5の通信線10を介して、運転状態を指定するデータを受信すると、その受信データに応じたエンジン制御(あるいはブレーキ制御)を行うようになっている。
これに対し、ECU7は、OBD−II対応の診断機3等の外部装置と、車載LAN5に接続されたECU8,9,…との間でのデータ通信を仲介するECUである。以下、他のECU8,9,…と区別するために、ECU7をゲートウェイECU7と称し、これをGW−ECU7と略す。また、必要に応じて、ECU8をエンジンECU8と称し、ECU9をブレーキECU9と称する。なお、エンジンECU8およびブレーキECU9は共に、車両のイグニッションスイッチがオン状態である場合に限り作動する電子制御装置であることを付言しておく。
GW−ECU7は、図2に示すように、マイコン30と、車載LAN5の通信線10を介して車載LAN5との間でデータ通信を行う通信回路(以下「車内用通信回路」という)11に加えて、OBD−IIポート4を介して外部装置との間でデータ通信を行う通信回路(以下「車外用通信回路」という)21を備える。
車内用通信回路11は、車載LAN5の通信線10を介してECU8,9,…に送信するための各種データが蓄積される送信バッファ13と、車載LAN5の通信線10を介してECU8,9,…から受信した各種データが蓄積される受信バッファ15と、車載LAN5のプロトコルに従ってデータ通信を行うための各種制御を行う車内用通信制御IC17とを備える。
車内用通信制御IC17は、マイコン30から受け取った各種データを送信バッファ13に記憶させるとともに、送信バッファ13に蓄積された各種データの送信順を設定したり、他のECU8,9,…との間で通信線10の使用権に関する調停を行うとともに、受信バッファ15に蓄積された各種データを適宜マイコン30に受け渡したりする。
一方、車外用通信回路21は、OBD−IIポート4を介して外部装置に送信するための各種データが蓄積される送信バッファ23と、OBD−IIポート4を介して外部装置から受信した各種データが蓄積される受信バッファ25と、予め設定された認証手順に従って認証できた外部装置との間でデータ通信を行うための各種制御を行う車外用通信制御IC27とを備える。
車外用通信制御IC27は、OBD−IIポート4に専用ケーブルが接続された外部装置から、予め決められたコードを含む問い合わせ信号を受信すると、その受信信号に含まれているコードが、自身のメモリ内に記憶されている正規のコードに一致するか否かを判定し、両者のコードが一致する場合に認証信号を外部装置に返信する。なお、この認証信号を受信した外部装置は、例えば車両制御システム1に対する各種情報の取得要求や、プログラムを書き換えるためのデータ(以下、リプログラムデータ)といった対象データを送信することになる。
そして、車外用通信制御IC27は、上記のように認証済みの外部装置からOBD−IIポート4を介して受信した対象データを、マイコン30に受け渡す処理を行う。以上のように車外用通信制御IC27が外部装置に対して行う処理を認証処理と称す。
[ゲートウェイ処理]
次に、GW−ECU7のマイコン30(CPU)が、自身のメモリに記憶されたプログラムに基づいて実行するゲートウェイ処理について説明する。なお、ゲートウェイ処理は、車両のイグニッションスイッチがオン状態にされると開始するようにされている。
本処理が開始されると、まず、S110では、イグニッションスイッチがオン状態からオフ状態に変更されたか否か、つまり車両電源(バッテリ)が常時接続されているところを除いてオフされた状態(+B状態)であるか否かを判断し、ここで肯定的に判断した場合には、本処理を終了し(さらに前述の認証処理を終了させ)、一方、否定的に判断した場合には、S120に移行する。
S120では、外部装置から車外用通信回路21を介して(つまり、OBD−IIポート4経由の)対象データ(本実施形態ではリプログラムデータ)を受信したか否かを判断し、ここで肯定的に判断した場合には、S140に移行し、一方、否定的に判断した場合には、S150に移行する。以下、リプログラムデータをリプログデータと略す。
なお、本実施形態のリブログデータは、エンジンECU8およびブレーキECU9のうち少なくとも一方を指定し、その指定された対象となるECU(対象ECU)に対してソフトウェアの書き換えを実行させるためのデータである。また、前述のように、エンジンECU8およびブレーキECU9は、イグニッションスイッチがオフ状態である場合には作動しない電子制御装置である。このため、先のS110では、イグニッションスイッチがオフ状態になると、ゲートウェイ処理を終了することにより、不要な制御処理に伴う電力消費が起こらないようにしている。また、このとき、車外用通信制御IC27に対して前述の認証処理を終了させることにより、さらなる消費電力の節約を図っている。
S140では、第2識別子が付加されたリプログデータを車内用通信回路11に受け渡して、S110に戻る。なお、車内用通信回路11において、車内用通信制御IC17は、マイコン30から受け取ったリプログデータを、送信バッファ13にセットすることにより、車載LAN5の通信線10を介して対象ECUに送信することになる。
一方、S150では、車内用通信回路11を介して(つまり、車載LAN5経由の)データを受信したか否かを判断し、ここで肯定的に判断した場合には、S160に移行し、一方、否定的に判断した場合には、S110に戻る。
S160では、S150にて受信したデータに第1識別子が含まれているか否か、つまり受信データがリプログデータであるか否かを判断し、ここで肯定的に判断した場合には、S180に移行し、一方、否定的に判断した場合には、S110に戻る。
S180では、S160にて第1識別子が含まれていると判断したリプログデータ(つまり、OBD−IIポート4を経由しないで車載LAN5に侵入したリプログデータ)の受信を無効にするための強制コマンドを、車内用通信回路11に受け渡すことにより送信バッファ13にセットする。
そして、続くS190では、S170にて送信バッファ13にセットされた強制コマンドを、車載LAN5の通信線10を介して対象ECUに送信するように車内用通信制御IC17に指令して、S110に戻る。
[動作例]
次に、このようなゲートウェイ処理(認証処理を含む)を行うGW−ECU7を備える車両制御システム1の動作例について説明する。
図4(a)に示すように、GW−ECU7は、正規に使用される外部装置(正規ツール)からOBD−IIポート4を介してリプログデータを受信すると、正規ツールとの間での認証処理を経て認証したデータとして、そのリプログデータに例えば自身の送信ID(第1識別子とは異なる識別子としての第2識別子の一例に相当する)を付加したリプログデータ(認証済みデータ)を対象ECUに送信する。なお、送信IDは、GW−ECU7から車載LAN5に送出されたことを表すIDであればよい。
そして、GW−ECU7から認証済みデータを受信した対象ECUは、認証済みデータに従って、自身のメモリに記憶されているプログラム及びデータの少なくとも一方を書き換える処理(プログラム書き換え処理)を実行する。
一方、図4(b)に示すように、不正に使用される外部装置(不正ツール)が、OBD−IIポート4を介さずに直接、車載LAN5の通信線10に接続されることで、不正ツールからリプログデータが車載LAN5に送出されると、このリプログデータをGW−ECU7および対象ECUが受信することになる。
この場合、GW−ECU7は、送信IDが付加されていないリプログデータを受信することになり、このリプログデータの受信を無効にするための強制コマンドを対象ECUに送信する。なお、強制コマンドには、リプログデータ自体が含まれている必要がなく、送信IDが付加されていないリプログデータを識別するためのID(リプログID)が含まれていればよい。
そして、GW−ECU7から強制コマンドを受信した対象ECUは、強制コマンドに従って、プログラム書き換え処理をキャンセルする。なお、対象ECUは、強制コマンドを受信したときに、プログラム書き換え処理を未だ開始していない状態であれば、その開始を禁止するとともにリプログデータを破棄し、プログラム書き換え処理を実行中であれば、少なくともその実行を停止するとともにリプログデータを破棄する。
また、対象ECUは、強制コマンドを受信したときに、プログラム書き換え処理を実行中であって、書き換え前の元のプログラムに復元可能であれば、その復元に必要な処理を実行し、元のプログラムに復元不能であれば、その旨を表す情報をGW−ECU7に送信する。なお、この情報を受信したGW−ECU7は、例えば車両のディスプレイに、運転者に報知するための情報を表示させる。
[効果]
以上説明したように、車両制御システム1では、GW−ECU7から車載LAN5に送出したもの以外のリプログデータについて、車載LAN5上のECU8,9,…によるそのデータの受信を強制的に無効にできるため、各々のECU8,9,…が認証処理を行うことなく、不正ツールによるデータ改ざん等を防止することが可能となる。
従って、車両制御システム1によれば、既存のシステムに大幅な設計変更を行うことなく、車載LAN5上のECU8,9,…へのソフトウェア攻撃を阻止することができる。
また、車両制御システム1では、正規ツールからOBD−IIポート4を介して受信したリプログデータに従って、車載LAN5上のECU8,9,…に記憶されているプログラム及びデータの少なくとも一方を書き換えることができるため、例えば車載ソフトウェアの不具合等を容易に修正することができる。
さらに、車両制御システム1では、万が一、不正ツールによって対象ECUのプログラムに異常が生じた場合であっても、例えば車両のディスプレイ等にその旨が表示されるため、このような異常情報を直ちに運転者に伝えることができ、運転者に適切な対応を促すことができる。
[発明との対応]
なお、本実施形態において、ECU8,9,…が複数の電子制御装置、車載LAN5が車内ローカルエリアネットワーク、車内用通信回路11が車内通信手段、OBD−II対応の診断機3が外部装置、OBD−IIポート4が通信ポート、リプログデータが対象データ、車外用通信回路21が外部受信手段、車外用通信制御IC27およびマイコン30が制御手段、車外用通信制御IC27が行う認証処理とマイコン30が行うS120及びS140とが認証送信処理、マイコン30が行うS150〜S190が受信無効化処理、GW−ECU7がゲートウェイ装置、エンジンECU8およびブレーキECU9が対象制御装置、車両制御システム1が車両通信システムのそれぞれ一例に相当する。
[他の実施形態]
以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において、様々な態様にて実施することが可能である。
例えば、上記実施形態の車両制御システム1では、不正ツールによって対象ECUのプログラムに異常が生じた場合に、例えば車両のディスプレイ等にその旨が表示されると説明したが、これに限定されるものではなく、例えば所定の連絡先となる端末装置に異常情報を送信してもよい。
また、上記実施形態の車両制御システム1では、通信ポートの一例としてOBD−IIポート4を挙げたが、これに限定されるものではなく、例えばアンテナ等であってもよい。この場合、車外用通信回路21は、例えばアンテナを介して外部装置との間で無線通信を行うように構成されていればよい。
また、上記実施形態の車両制御システム1では、対象データの一例としてリプログデータを挙げたが、これに限定されるものではなく、例えば対象ECUから情報を取得するための各種問い合わせ等であってもよい。
また、上記実施形態の車両制御システム1では、複数の電子制御装置または対象制御装置の一例としてエンジンECU8およびブレーキECU9を挙げたが、これに限定されるものではなく、少なくとも車載LAN5に接続されているECUであれば他のECUでもよい。
1…車両制御システム、3…診断機、4…OBD−IIポート、5…車載LAN、7…ゲートウェイECU、8…エンジンECU、9…ブレーキECU、10…通信線、11…車内用通信回路、13…送信バッファ、15…受信バッファ、17…車内用通信制御IC、21…車外用通信回路、23…送信バッファ、25…受信バッファ、27…車外用通信制御IC、30…マイコン。

Claims (4)

  1. 複数の電子制御装置がそれぞれ接続されてなる車内ローカルエリアネットワーク上に設けられ、
    前記車内ローカルエリアネットワーク間のデータ通信を行う車内通信手段と、
    外部装置との間でデータ通信を行うための通信ポートを介して予め設定された識別子を有する対象データを受信する外部受信手段と、
    前記外部受信手段にて前記通信ポートを介して受信した対象データのうち、予め設定された認証手順に従って認証した対象データである認証済みデータだけを前記車内ローカルエリアネットワーク上の電子制御装置に送信する認証送信処理を行う制御手段と、
    を備えるゲートウェイ装置であって、
    前記制御手段は、前記車内通信手段にて前記車内ローカルエリアネットワークを介して前記識別子を有するデータを受信すると、該データの受信を無効にするための強制コマンドを該車内ローカルエリアネットワーク上の電子制御装置に送信する受信無効化処理を実行することを特徴とするゲートウェイ装置。
  2. 前記対象データは、前記電子制御装置に記憶されているプログラムを書き換えるためのリプログラムデータであり、
    前記強制コマンドは、前記プログラムの書き換えをキャンセルするコマンドであることを特徴とする請求項1に記載のゲートウェイ装置。
  3. 前記対象データは、前記複数の電子制御装置のうち予め決められた電子制御装置である対象制御装置に対する前記リプログラムデータであり、
    前記対象制御装置は、車両のイグニッションスイッチがオン状態である場合に限り作動する装置であり、
    前記制御手段は、車両のイグニッションスイッチがオン状態からオフ状態に変更されると、前記認証送信処理および前記受信無効化処理を終了することを特徴とする請求項2に記載のゲートウェイ装置。
  4. 複数の電子制御装置がそれぞれ接続されてなる車内ローカルエリアネットワークと、
    該車内ローカルエリアネットワーク上に設けられ、外部装置との間でデータ通信を行うための通信ポートを介して予め設定された識別子を有する対象データを受信すると、予め設定された認証手順に従って認証した対象データである認証済みデータだけを前記車内ローカルエリアネットワーク上の電子制御装置に送信する認証送信処理を行うゲートウェイ装置と、
    を備えた車両通信システムであって、
    前記ゲートウェイ装置は、
    前記車内ローカルエリアネットワークを介して前記識別子を有するデータを受信すると、該データの受信を無効にするための強制コマンドを前記車内ローカルエリアネットワーク上の電子制御装置に送信し、
    前記電子制御装置は、前記車内ローカルエリアネットワークを介して前記強制コマンドを受信すると、該強制コマンドが示す対象データに基づく制御をキャンセルすることを特徴とする車両通信システム。
JP2012004163A 2012-01-12 2012-01-12 ゲートウェイ装置、及び、車両通信システム Active JP5696669B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012004163A JP5696669B2 (ja) 2012-01-12 2012-01-12 ゲートウェイ装置、及び、車両通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012004163A JP5696669B2 (ja) 2012-01-12 2012-01-12 ゲートウェイ装置、及び、車両通信システム

Publications (2)

Publication Number Publication Date
JP2013141947A JP2013141947A (ja) 2013-07-22
JP5696669B2 true JP5696669B2 (ja) 2015-04-08

Family

ID=49038741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012004163A Active JP5696669B2 (ja) 2012-01-12 2012-01-12 ゲートウェイ装置、及び、車両通信システム

Country Status (1)

Country Link
JP (1) JP5696669B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220172522A1 (en) * 2020-11-30 2022-06-02 Toyota Jidosha Kabushiki Kaisha Communication apparatus, vehicle, system, and determination method

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6028717B2 (ja) * 2013-11-06 2016-11-16 トヨタ自動車株式会社 通信システムおよびゲートウェイ装置並びに通信方法
KR101554634B1 (ko) 2014-07-09 2015-09-21 한국전자통신연구원 차량 내부 네트워크 보호를 위한 차량 외부 인터페이스 장치 및 방법
JP6518158B2 (ja) * 2015-07-24 2019-05-22 ジヤトコ株式会社 車両及び車両の通信方法
JP2018173721A (ja) 2017-03-31 2018-11-08 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、車両制御装置、通信管理装置
JP6666876B2 (ja) * 2017-05-15 2020-03-18 本田技研工業株式会社 通信システム、および移動体
JP6323968B1 (ja) * 2017-08-08 2018-05-16 三菱日立パワーシステムズインダストリー株式会社 車両用保守ツール
JP6898643B2 (ja) * 2017-08-10 2021-07-07 株式会社Subaru 車両用の電子制御装置
CN111356114B (zh) * 2020-02-19 2023-06-20 阿波罗智联(北京)科技有限公司 车内电子控制单元升级方法、装置、设备和车辆系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) * 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP4942261B2 (ja) * 2001-07-31 2012-05-30 株式会社デンソー 車両用中継装置、及び、車内通信システム
JP2008278134A (ja) * 2007-04-27 2008-11-13 Chuden Cti Co Ltd ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム
JP2008276806A (ja) * 2008-08-05 2008-11-13 Hitachi Ltd 記憶装置
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220172522A1 (en) * 2020-11-30 2022-06-02 Toyota Jidosha Kabushiki Kaisha Communication apparatus, vehicle, system, and determination method
US11961338B2 (en) * 2020-11-30 2024-04-16 Toyota Jidosha Kabushiki Kaisha Communication apparatus, vehicle, system, and determination method

Also Published As

Publication number Publication date
JP2013141947A (ja) 2013-07-22

Similar Documents

Publication Publication Date Title
JP5696669B2 (ja) ゲートウェイ装置、及び、車両通信システム
US20220070159A1 (en) Secure vehicle control unit update
CN110324301B (zh) 生成用于阻止对车辆的计算机攻击的规则的系统和方法
RU2706887C2 (ru) Система и способ блокирования компьютерной атаки на транспортное средство
Koscher et al. Experimental security analysis of a modern automobile
US8918251B2 (en) CAN based vehicle immobilizer
CN111142500B (zh) 车辆诊断数据的权限设置方法、装置及车载网关控制器
US20090240383A1 (en) Automobile detection and control gateway interface and method thereof
DE102016115669A1 (de) Boardseitige Webserver-Telematiksysteme und Verfahren
JP5772609B2 (ja) 車両通信システム
CN112918386B (zh) 一种汽车手套箱锁的控制方法及装置
JP4253979B2 (ja) 車載制御ユニットの検査方法
CN112423266A (zh) 一种车辆诊断方法、装置及汽车
CN113885467A (zh) 检测并解决认证消息中的行程计数器值的去同步
JP6191397B2 (ja) 通信中継装置、通信中継処理
JP2013192090A (ja) 通信システム、中継装置、車外装置及び通信方法
JP2013168007A (ja) 中継システム、外部装置、中継装置
CN114338073A (zh) 车载网络的防护方法、系统、存储介质及设备
JP4921947B2 (ja) 車両用盗難防止システム
JP2008050885A (ja) 車両用認証装置
EP3121753A1 (en) System for controlling the communication between a main device and an auxiliary device and associated main device and auxiliary device used in the system
JP7354180B2 (ja) 車載中継装置
JP7160206B2 (ja) セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体
WO2019175940A1 (ja) 車両制御装置、無効化装置、コンピュータプログラム及び無効化方法
JP2017149234A (ja) 車両用監視システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150126

R151 Written notification of patent or utility model registration

Ref document number: 5696669

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250