JP5776561B2

JP5776561B2 - 中継装置

Info

Publication number: JP5776561B2
Application number: JP2012007194A
Authority: JP
Inventors: 浩二藤木; 岸上　友久; 友久岸上; 佳紀高居; 康雅今井
Original assignee: Denso Corp
Current assignee: Denso Corp
Priority date: 2012-01-17
Filing date: 2012-01-17
Publication date: 2015-09-09
Anticipated expiration: 2032-01-17
Also published as: JP2013150059A

Description

本発明は、車内ＬＡＮに接続されると共に、車内ＬＡＮとは別の通信路により外部装置と通信を行い、車内ＬＡＮに接続されたＥＣＵと外部装置との間の通信を中継する中継装置に関する。

車両側にて暗号化されたコードをキーから受信すると共に、該コードを用いて認証を行い、認証に成功した場合に限りエンジン等の始動を許可するシステムであるイモビライザーが知られている（特許文献１等参照）。このイモビライザーを用いることで、施錠された車両のドアが強制的に開扉されてしまった場合等であっても、車両の盗難を防止することができる。

また、このイモビライザーを構成するＥＣＵはＣＡＮ等の車内ＬＡＮに接続されているが、近年、車内ＬＡＮに外部ツールを接続するための専用ポートが設けられている車両が多く流通している。これらの車両では、この専用ポートに接続された外部ツールとＥＣＵが車内ＬＡＮを介して通信を行うことで、ＥＣＵの検査や、不具合の修正やバージョンアップのためのＥＣＵのプログラムの書き換え（リプログラム）が行われる。

特開平８−３０８７３号公報

これに対し、近年、イモビライザーによる盗難防止機能を短時間で無効化することができるイモビカッターなる不正ツールが出回っている。このイモビカッターは、上述の専用ポートに接続された状態で用いられ、車内ＬＡＮにアクセスしてイモビライザーを構成するＥＣＵのリプログラムを行うことで、盗難防止機能を無効化する。

このように、車内ＬＡＮを経由したリプログラムを悪用することで、車両の盗難が容易に行われてしまうおそれがあり、これ以外にも、ＥＣＵが不正に改造されてしまうというおそれがあった。

ここで、車内ＬＡＮと専用ポートの間に中継装置を設け、専用ポートに接続された不正ツールとＥＣＵとの間の通信が中継装置を経由して行われるよう構成すると共に、中継装置にてリプログラム用のフレームの中継を制限することが考えられる。これにより、専用ポートからの不正なリプログラムを防止できると考えられるが、車内ＬＡＮに不正ツールが直接接続され、中継装置を経由せずに不正ツールとＥＣＵとの間の通信が行われた場合には、ＥＣＵのリプログラムが不正に行われてしまうおそれがあった。

本願発明は上記課題に鑑みてなされたものであり、ＥＣＵの不正なリプログラムを防ぐことができる中継装置を提供することを目的とする。

上記課題に鑑みてなされた請求項１に記載の中継装置は、転送されるフレームに優先順位が設定されており、優先順位の異なるフレームが同時に送出された場合には、優先順位の最も高いフレームが転送され、他のフレームは無効化される車内ＬＡＮに接続されていると共に、車内ＬＡＮとは別の有線の通信路を介して外部装置に接続可能に構成されており、車内ＬＡＮに接続されたＥＣＵと外部装置との間の通信の中継を行うよう構成されている。

そして、この中継装置は、外部装置により通信路に送出されたフレームのうち、予め定められたフレームを車内ＬＡＮに転送すると共に、車内ＬＡＮに送出されたフレームのうち、予め定められたフレームを外部装置に転送することで、中継を行う転送手段と、車内ＬＡＮに、予め定められたフレームであるＥＣＵのリプログラム用フレームが送出されたことを検出すると共に、該リプログラム用フレームが、自装置により送出されたものであるか否かを判定する判定手段と、を備える。また、判定手段により否定判定が得られると、リプログラム用フレームよりも優先順位の高いフレームである優先フレームを、連続的に車内ＬＡＮに送出する送出手段を備える。

なお、中継装置が中継するフレームは予め登録されてあり、種類を識別できるようになっている。また、中継装置は、予め定められた認証に成功した場合は、リプログラム用フレームの中継を許可しても良い（すなわち、認証に応じて中継するフレームの種類を切り替えても良い）。また、認証の成否に拘らず中継を行うフレームがあっても良い。

このような構成によれば、中継装置は、外部装置から送出されたリプログラム用フレーム等の各種フレームを車内ＬＡＮに中継する機能を有しているため、車内ＬＡＮに送出されたリプログラム用フレームが自装置により中継されたものであるかどうかを正確に判別することができる。そして、自装置が中継してないリプログラム用フレームを不正ツールから送出されたものとみなすことで、強制的に車内ＬＡＮに接続された不正ツールによるＥＣＵのリプログラムを検知することができる。

また、この車内ＬＡＮでは、優先順位の異なるフレームが同時に送出された場合には、優先順位の最も高いフレームのみが転送される。さらに、一般的に用いられている車両用の通信規格では、１フレームのデータ長はリプログラムに必要なデータのサイズよりもはるかに小さく、リプログラムを行うためには、外部装置等からＥＣＵに対し複数回にわたりリプログラム用フレームを送信する必要がある。

このため、不正ツールによるリプログラムを検知した後に、リプログラム用フレームよりも優先順位の高い優先フレームを切れ目無く車内ＬＡＮに送出することで、これ以降、不正ツールからのリプログラム用フレームの送出を阻止することができ、不正ツールによるリプログラムを中断させることができる。

したがって、請求項１に記載の中継装置によれば、車内ＬＡＮに直接接続された不正ツールによるＥＣＵの不正なリプログラムを防ぐことができる。

Ｇ／Ｗ−ＥＣＵ，外部ツール，不正ツール等を示すブロック図である。Ｇ／Ｗ−ＥＣＵの構成を示すブロック図である。不正防止処理についてのフローチャートである。

以下、本発明の実施形態について図面を用いて説明する。なお、本発明の実施の形態は、下記の実施形態に何ら限定されることはなく、本発明の技術的範囲に属する限り種々の形態を採りうる。

［構成の説明］
まず、本実施形態のＧ／Ｗ−ＥＣＵ１０の構成について説明する。図１に記載されているように、本実施形態のＧ／Ｗ−ＥＣＵ１０は、車内ＬＡＮ７０を介してＥＣＵ（Ａ〜Ｃ−ＥＣＵ４０〜６０等）に接続されると共に、通信路２０を介して外部ツール３０に接続され、車内ＬＡＮ７０に接続されたＥＣＵと外部ツール３０との間の通信を中継する装置として構成されている。

なお、車内ＬＡＮ７０，通信路２０は、同一の通信規格（一例としてＣＡＮ）に準拠している。そして、外部ツール３０は、必要に応じて周知のＯＢＤ−２ポート２５を介して通信路２０に接続されると共に、Ｇ／Ｗ−ＥＣＵ１０を介して各ＥＣＵと通信を行い、各ＥＣＵの検査やプログラムの書き換え（リプログラム）を行うよう構成されている。

また、車内ＬＡＮ７０には、ＥＣＵのリプログラムを不正に行うための不正ツール８０が、強制的に直接接続される可能性がある。
また、図２に記載されているように、Ｇ／Ｗ−ＥＣＵ１０は、ＣＰＵ、ＲＯＭ、ＲＡＭ、Ｉ／Ｏ及びこれらを接続するバスライン等からなる周知のマイクロコンピュータを中心に構成され、ＲＯＭに記憶されたプログラム等に従いＧ／Ｗ−ＥＣＵ１０を統括制御する制御部１３を備える。また、車内ＬＡＮ７０を介して他のＥＣＵと通信を行うための送信バッファ１１ａ，受信バッファ１１ｂ，通信制御部１２と、通信路２０を介して外部ツール３０と通信を行うための受信バッファ１５ａ，送信バッファ１５ｂ，通信制御部１４を備える。

［動作の説明］
次に、本実施形態のＧ／Ｗ−ＥＣＵ１０の動作について説明する。
既に述べたように、Ｇ／Ｗ−ＥＣＵ１０は、ＯＢＤ−２ポート２５に接続された外部ツール３０と、車内ＬＡＮ７０に接続されＥＣＵとの間の通信を中継するよう構成されており、車内ＬＡＮ７０と通信路２０とは、共にＣＡＮに準拠したものとなっている。そして、Ｇ／Ｗ−ＥＣＵ１０は、他のＥＣＵにより車内ＬＡＮ７０に送出されたフレームのうち、予め登録されたフレームを、通信路２０に転送すると共に、外部ツール３０により通信路２０に送出されたフレームのうち、予め登録されたフレームを、車内ＬＡＮ７０に転送する（なお、該機能は、特許請求の範囲における転送手段に相当する）。

しかしながら、予め登録されたフレームには種類があり、Ｇ／Ｗ−ＥＣＵ１０は、外部ツール３０から送出されたＥＣＵのリプログラム用フレームの中継を禁止した状態となっており、外部ツール３０から送出されたリプログラム用フレームに関しては、中継を行わない。ただし、操作部等（図示なし）を介して認証を行うよう構成されており、認証に成功した場合にはリプログラム用フレームの中継を許可し、リプログラム用フレームの中継を行う。すなわち、認証によって中継するフレームの種類を可変にできる。

なお、Ｇ／Ｗ−ＥＣＵ１０は、リプログラム用フレームのみが登録されており、リプログラム用フレームのみの中継を行う構成となっていても良い。
また、この操作部は、例えば、他のＥＣＵにより車内ＬＡＮ７０に送出されたフレームにより操作がなされたことを検出可能なものであっても良く、具体的には、各ドアに設けられたドアハンドルや、ドアの窓の開閉スイッチ等であっても良い。また、Ｇ／Ｗ−ＥＣＵ１０に設けられたボタン等であっても良い。そして、この操作部を介して予め定められた操作を受け付けた場合には、認証に成功したものとし、リプログラム用フレームの中継を許可しても良い。

また、これ以外にも、例えば、ナビゲーション装置等のように表示部や操作部を備えるＥＣＵにより、自車両の所有者しか正解を知りえないような問題を出題すると共に、解答の入力を受け付け、正解が入力された場合に限りリプログラム用フレームの中継を許可するといった方法で、認証を行っても良い。

しかしながら、上述したように、車内ＬＡＮ７０に強制的に不正ツール８０が接続され、車内ＬＡＮ７０にリプログラム用フレームが送出される可能性があり、このような場合には、Ｇ／Ｗ−ＥＣＵ１０でリプログラム用フレームの中継を制限しても、不正なリプログラムを防ぐことはできない。

ここで、本実施形態の車内ＬＡＮ７０はＣＡＮに準拠しているが、ＣＡＮのフレームは、送信先やデータ内容を識別するためのＩＤを有する構造となっている。そして、ＩＤに設定された数値が小さいほどフレームの優先順位が高くなっており、複数のＥＣＵから同時にフレームが送出された場合には、通信調停が行われ、優先順位の最も高いフレームが転送され、他のフレームは無効化される。

また、本実施形態では、リプログラム用フレームよりも優先順位が高いフレームが設けられている。そして、Ｇ／Ｗ−ＥＣＵ１０は、強制的に車内ＬＡＮ７０に直接接続された不正ツール８０からリプログラム用フレームが送出された場合には、優先順位のより高いフレームを送出することでリプログラム用フレームの不正な送出を阻止し、不正なリプログラムを防止する。

以下では、Ｇ／Ｗ−ＥＣＵ１０が、不正ツール８０による車内ＬＡＮ７０へのリプログラム用フレームの送出を防止する不正防止処理について、図３に記載のフローチャートを用いて説明する。

Ｇ／Ｗ−ＥＣＵ１０は、車内ＬＡＮ７０に送出されたリプログラム用フレームを受信するよう予め設定されており、制御部１３は、リプログラム用フレームを受信すると（Ｓ１０５）、Ｓ１１０に処理を移行する。なお、リプログラム用フレームを受信しなかった場合には、本処理は終了となる。

Ｓ１１０では、制御部１３は、受信したリプログラム用フレームが、自装置がＯＢＤ−２ポート２５に接続された外部ツール３０から受信し、車内ＬＡＮ７０に転送したフレームであるか否かを判定する。具体的には、例えば、外部ツール３０から受信したリプログラム用フレームを転送した後、予め定められた時間内に受信したリプログラム用フレームを、自装置が転送したリプログラム用フレームとみなしても良い。そして、肯定判定が得られた場合には（Ｓ１１０：Ｙｅｓ）、本処理を終了すると共に、否定判定が得られた場合には（Ｓ１１０：Ｎｏ）、Ｓ１１５に処理を移行する。

Ｓ１１５では、制御部１３は、リプログラム用フレームよりも優先順位の高い（リプログラム用フレームよりもＩＤに設定された数値が小さい）優先フレームを生成し、以後、該優先フレームを一定周期で連続的に送出する（Ｓ１２０）。なお、優先フレームの送出周期は、車内ＬＡＮ７０にて切れ目無く優先フレームが転送される状態となり、優先フレームよりも優先順位の低いフレームの送出が極めて困難となる状況を作り出すことができる程度の長さとすることが望ましい。

続くＳ１２５では、制御部１３は、Ｇ／Ｗ−ＥＣＵ１０が、通信許可状態（ＥＣＵへの電力供給の状態や、通信バスの駆動条件、フレーム毎の駆動条件を総合的に判断した結果、通信禁止状態から通信許可状態に移行する、ＥＣＵとして通信が可能な状態）か否かを判定し、肯定判定が得られた場合には（Ｓ１２５：Ｙｅｓ）、Ｓ１１５に処理を移行すると共に、否定判定が得られた場合には（Ｓ１２５：Ｎｏ）、Ｓ１３０に処理を移行する。

［効果］
本実施形態のＧ／Ｗ−ＥＣＵ１０は、外部ツール３０から送出されたリプログラム用フレーム等の各種フレームを車内ＬＡＮ７０に中継する機能を有しているため、車内ＬＡＮ７０に送出されたリプログラム用フレームが、自装置により中継されたものであるかどうかを正確に判別することができる。そして、自装置が中継してないリプログラム用フレームを不正ツール８０から送出されたものとみなすことで、強制的に車内ＬＡＮ７０に接続された不正ツール８０によるＥＣＵのリプログラムを検知することができる。

また、この車内ＬＡＮ７０は、ＣＡＮに準拠しており、優先順位の異なるフレームが同時に送出された場合には、優先順位の最も高いフレームのみが転送される。さらに、ＣＡＮでは、１フレームのデータ長はリプログラムに必要なデータのサイズよりもはるかに小さく、リプログラムを行うためには、外部ツール３０等からＥＣＵに対し複数回にわたりリプログラム用フレームを送信する必要がある。

このため、不正ツール８０によるリプログラムを検知した後に、リプログラム用フレームよりも優先順位の高い優先フレームを切れ目無く車内ＬＡＮ７０に送出することで、これ以降、不正ツール８０からのリプログラム用フレームの送出を阻止することができ、不正ツール８０によるリプログラムを中断させることができる。

したがって、本実施形態のＧ／Ｗ−ＥＣＵ１０によれば、車内ＬＡＮ７０に直接接続された不正ツール８０によるＥＣＵの不正なリプログラムを防ぐことができる。
［他の実施形態］
（１）本実施形態のＧ／Ｗ−ＥＣＵ１０は、電源の状態に拘らず、自装置以外から車内ＬＡＮ７０にリプログラム用フレームが送出されたかどうかを常時監視しても良い。そして、リプログラム用フレームが送出された場合には、不正防止処理のＳ１２０と同様にして優先フレームを連続的に送信しても良い。こうすることにより、電源の状態に拘らず、不正ツール８０によるＥＣＵのリプログラムを防ぐことができる。

（２）また、本実施形態では、車内ＬＡＮ７０はＣＡＮに準拠したものとなっている。しかしながら、これに限定されることは無く、ＣＡＮと同様に、用途の異なる各フレームの優先順位が定められており、用途の異なるフレームが同時に送出された場合には、優先順位の高いフレームのみが転送されるという通信調停が行われるものであれば、どのような通信規格に準拠していても良い。

また、車内ＬＡＮ７０と通信路２０とは、同一の通信規格に準拠したものとなっているが、異なる通信規格に準拠していても良い。このような場合であっても、Ｇ／Ｗ−ＥＣＵ１０にてＥＣＵと外部ツール３０との間の中継を行う際に、中継先の通信規格に応じてフレームを変換することで、同様の効果を得ることができる。

［特許請求の範囲との対応］
上記実施形態の説明で用いた用語と、特許請求の範囲の記載に用いた用語との対応を示す。

Ｇ／Ｗ−ＥＣＵ１０が中継装置に、外部ツール３０が外部装置に相当する。
また、不正防止処理のＳ１０５，Ｓ１１０が判定手段に、Ｓ１２０が送出手段に相当する。

１０…Ｇ／Ｗ−ＥＣＵ、１１ａ…送信バッファ、１１ｂ…受信バッファ、１２…通信制御部、１３…制御部、１４…通信制御部、１５ａ…受信バッファ、１５ｂ…送信バッファ、２０…通信路、２５…ＯＢＤ−２ポート、３０…外部ツール、７０…車内ＬＡＮ、８０…不正ツール。

Claims

転送されるフレームに優先順位が設定されており、前記優先順位の異なるフレームが同時に送出された場合には、前記優先順位の最も高いフレームが転送され、他のフレームは無効化される車内ＬＡＮに接続されていると共に、前記車内ＬＡＮとは別の有線の通信路を介して外部装置に接続可能に構成されており、前記車内ＬＡＮに接続されたＥＣＵと前記外部装置との間の通信の中継を行う中継装置であって、
前記外部装置により前記通信路に送出されたフレームのうち、予め定められたフレームを前記車内ＬＡＮに転送すると共に、前記車内ＬＡＮに送出されたフレームのうち、予め定められたフレームを前記外部装置に転送することで、前記中継を行う転送手段と、
前記車内ＬＡＮに、前記予め定められたフレームである前記ＥＣＵのリプログラム用フレームが送出されたことを検出すると共に、該リプログラム用フレームが、自装置により送出されたものであるか否かを判定する判定手段と、
前記判定手段により否定判定が得られると、前記リプログラム用フレームよりも前記優先順位の高いフレームである優先フレームを、連続的に前記車内ＬＡＮに送出する送出手段と、
を備えることを特徴とする中継装置。