JP5900007B2 - 車両用データ通信認証システム及び車両用ゲートウェイ装置 - Google Patents
車両用データ通信認証システム及び車両用ゲートウェイ装置 Download PDFInfo
- Publication number
- JP5900007B2 JP5900007B2 JP2012033945A JP2012033945A JP5900007B2 JP 5900007 B2 JP5900007 B2 JP 5900007B2 JP 2012033945 A JP2012033945 A JP 2012033945A JP 2012033945 A JP2012033945 A JP 2012033945A JP 5900007 B2 JP5900007 B2 JP 5900007B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- ecu
- state
- external tool
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 222
- 238000012423 maintenance Methods 0.000 claims description 61
- 238000010586 diagram Methods 0.000 description 18
- 238000001914 filtration Methods 0.000 description 12
- 238000000034 method Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 230000001105 regulatory effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- AIMMVWOEOZMVMS-UHFFFAOYSA-N cyclopropanecarboxamide Chemical compound NC(=O)C1CC1 AIMMVWOEOZMVMS-UHFFFAOYSA-N 0.000 description 1
Images
Description
本発明は、ECU(電子制御ユニット)が接続されているバスに外部ツールを接続可能な車両用データ通信認証システム、車両用データ通信認証システムに外部ツールとECUとを切分けるように接続される車両用ゲートウェイ装置に関する。
従来より、ECU(Electronic Control Unit、電子制御ユニット)が接続されているバスに外部ツールを接続し、その外部ツールを操作することで、ECUにアクセスすることが可能となる構成が開示されている。ECUにアクセスすることで、ECUの制御プログラムを書換えたり、ECUからデータを読出したりする等が可能となる(例えば特許文献1参照)。
ところで、外部ツールとバスとの間の接続インタフェースやデータ通信方式の仕様は公開されている。そのため、正規の作業者が正規な外部ツールをバスに接続することのみならず、悪意を持った第三者が不正な外部ツールをバスに接続することが懸念されている。不正な外部ツールがバスに接続されると、ECUの制御プログラムが不正に書換えられたり、ECUから不正にデータが読出されたりする等(所謂成りすましが行われること)の被害を受けることが懸念される。そもそも外部ツールとECUとの間で規定されているデータ通信方式であるCAN(Controller Area Network)通信では、データフレームを同報する方式であることから、盗聴や解析が容易であるという事情がある。更に、データを格納するデータフィールド、データフレームの種別を識別する識別子フィールド、CRC(cyclic redundancy check)チェックを格納するCRCフィールド等が規定されている一方、データフレームの発信元(発アドレス)を識別するソースフィールド、データフレームを認証する認証フィールドが規定されていないという事情もある。このような事情から、不正な外部ツールがバスに接続されたことに対する防御対策が望まれている。
本発明は、上記した事情に鑑みてなされたものであり、その目的は、ECUが接続されているバスに不正な外部ツールが接続された場合であっても、不正な外部ツールが接続されたことによる被害を抑制することができ、セキュリティ性を高めることができる車両用データ通信認証システム及び車両用ゲートウェイ装置を提供することにある。
請求項1に記載した車両用データ通信認証システムによれば、外部ツールに対して認証を行い、外部ツールに対して行った認証結果が正であると判定すると、バスに接続されている外部ツールが正規な外部ツールであると特定し、認証状態を設定し、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する。よって、正規な外部ツールからアクセス対象のECUへのアクセスを許可することができる。一方、外部ツールに対して行った認証結果が否であると判定すると、バスに接続されている外部ツールが不正な外部ツールであると特定し、認証状態を設定することなく、外部ツールとアクセス対象のECUとの間でのデータ通信を拒否する。よって、不正な外部ツールからアクセス対象のECUへのアクセスを拒否することができる。これにより、不正な外部ツールが接続されたことによる被害を抑制することができ、セキュリティ性を高めることができる。
又、認証状態を維持する期間、即ち、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する期間を、アクセス対象のECUから認証状態維持要求信号が入力されている期間に設定する。よって、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する期間を管理することができる。これにより、データ通信を許可する期間を不要に継続することを未然に回避することができる等、セキュリティ性をより一層高めることができる。
請求項10に記載した車両用データ通信認証システムによれば、外部ツールに対して認証を直接的に行えない場合であっても、車両状態に対して認証を行うことで外部ツールに対して認証を間接的に行う。即ち、正規な外部ツールがバスに接続されている状況では車両状態が正常であると見做し、一方、不正な外部ツールがバスに接続されている状況では車両状態が異常であると見做し、車両状態に対して認証を行う。車両状態に対して行った認証結果が正であると判定すると、バスに接続されている外部ツールが正規な外部ツールであると特定し、認証状態を設定し、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する。よって、正規な外部ツールからアクセス対象のECUへのアクセスを許可することができる。一方、車両状態に対して行った認証結果が否であると判定すると、バスに接続されている外部ツールが不正な外部ツールであると特定し、認証状態を設定することなく、外部ツールとアクセス対象のECUとの間でのデータ通信を拒否する。よって、不正な外部ツールからアクセス対象のECUへのアクセスを拒否することができる。これにより、不正な外部ツールが接続されたことによる被害を抑制することができ、セキュリティ性を高めることができる。
又、この場合も、認証状態を維持する期間、即ち、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する期間を、アクセス対象のECUから認証状態維持要求信号が入力されている期間に設定する。よって、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する期間を管理することができる。これにより、データ通信を許可する期間を不要に継続することを未然に回避することができる等、セキュリティ性をより一層高めることができる。
請求項17に記載した車両用ゲートウェイ装置によれば、上記した請求項1に記載したものと同様の作用効果を得ることができる。即ち、不正な外部ツールが接続されたことによる被害を抑制することができ、セキュリティ性を高めることができる。又、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する期間を管理することができ、データ通信を許可する期間を不要に継続することを未然に回避することができる等、セキュリティ性をより一層高めることができる。更に、この場合は、外部ツールに対する認証、認証状態の設定、認証状態の維持を車両用ゲートウェイ装置で一括して行うので、車両用ゲートウェイ装置を追加(増設)することで実現することができ、既存のシステムの変更を極力抑えつつ実現することができる。
請求項20に記載した車両用ゲートウェイ装置によれば、上記した請求項10に記載したものと同様の作用効果を得ることができる。即ち、不正な外部ツールが接続されたことによる被害を抑制することができ、セキュリティ性を高めることができる。又、外部ツールとアクセス対象のECUとの間でのデータ通信を許可する期間を管理することができ、データ通信を許可する期間を不要に継続することを未然に回避することができる等、セキュリティ性をより一層高めることができる。更に、この場合も、外部ツールに対する認証、認証状態の設定、認証状態の維持を車両用ゲートウェイ装置で一括して行うので、車両用ゲートウェイ装置を追加(増設)することで実現することができ、既存のシステムの変更を極力抑えつつ実現することができる。
以下、本発明の第1の実施形態について、図1乃至図9を参照して説明する。図1に示すように、車両用データ通信認証システム1において、車両用ゲートウェイ装置2は、複数(図1では2個の)のECU(Electronic Control Unit、電子制御ユニット)3及びECU4と、作業者が操作可能な外部ツール(操作機器)5を切分ける(分断する)ようにバス6に接続されている。ここでは、車両用ゲートウェイ装置2から見てECU3及びECU4側のバス6、即ち、車両用ゲートウェイ装置2とECU3及びECU4との間でデータを伝送するバス6をECU側バス6aと称する。又、車両用ゲートウェイ装置2から見て外部ツール5側のバス6、即ち、車両用ゲートウェイ装置2と外部ツール5との間でデータを伝送するバス6を外部ツール側バス6bと称する。
ECU3及びECU4は、例えばエンジンの動作を制御するエンジンECU、ドアロック機構の動作を制御するドアロックECU、ナビゲーションの動作を制御するナビゲーションECU、メーター動作を制御するメーターECU等の周知のECUである。ECUの個数は3個以上であっても良いし、1個のみであっても良い。外部ツール側バス6bには外部ツール5を着脱可能なコネクタ7が設けられており、外部ツール5は、コネクタ7に装着されることで外部ツール側バス6bに接続され、車両用ゲートウェイ装置2との間でのデータ通信が可能となる。
バス6はデータ通信方式としてCAN(Controller Area Network)通信が採用されている。CAN通信では、データを格納するデータフィールド、データフレームの種別を識別する識別子フィールド、CRC(cyclic redundancy check)チェックを格納するCRCフィールド等が規定されているが、データフレームの発信元(発アドレス)を識別するソースフィールド、データフレームを認証する認証フィールドが規定されていない。
車両用ゲートウェイ装置2は、制御部2aと、ECU側バス通信部2bと、外部ツール側バス通信部2cと、認証部2d(第1の認証手段、第2の認証手段に相当)と、認証制御部2e(第1の認証制御手段、第2の認証制御手段に相当)と、通信制御部2f(第1の通信制御手段、第2の通信制御手段に相当)と、フィルタリング部2gと、認証維持部2h(第1の認証維持手段、第2の認証維持手段に相当)とを有する。
制御部2aは、マイクロコンピュータを有して構成されており、マイクロコンピュータが制御プログラムを実行することで、ECU側バス通信部2b、外部ツール側バス通信部2c、認証部2d、認証制御部2e、通信制御部2f、フィルタリング部2g、認証維持部2hの動作を制御する。ECU側バス通信部2bは、ECU側バス6aに接続されており、ECU3及びECU4との間でデータの送受信動作を制御する。外部ツール側バス通信部2cは、外部ツール側バス6bに接続されており、コネクタ7に外部ツール5が接続されている状態で、その外部ツール5との間でデータの送受信動作を制御する。
認証部2dは、コネクタ7に外部ツール5が接続されている状態で、その外部ツール5に対して認証を行う(認証の手順については後述する)。認証制御部2eは、認証部2dが外部ツール5に対して行った認証結果に基づいて、外部ツール5とアクセス対象のECUとの間でのデータ通信を許可するか拒否するかを設定する。即ち、認証制御部2eは、外部ツール5に対して行った認証結果が正であると判定すると、認証状態を設定し、外部ツール5とアクセス対象のECUとの間でのデータ通信を許可する。一方、認証制御部2eは、外部ツール5に対して行った認証結果が否であると判定すると、認証状態を設定することなく、外部ツール5とアクセス対象のECUとの間でのデータ通信を拒否する。
通信制御部2fは、認証部2dが外部ツール5に対して行った認証結果に拘らず、外部ツール5とアクセス対象のECUとの間でのデータ通信を許可するか拒否するかを設定する。通信制御部2fは、車両用データ通信では一部のデータ通信を常に許可する必要があるので、外部からの認証状態が設定されていない期間、即ち、外部ツール5とアクセス対象のECUとの間でのデータ通信を拒否する期間において特定のデータ(例えば後述する法規メッセージ)については例外的に外部ツール5とアクセス対象のECUとの間でのデータ通信を許可する。フィルタリング部2gは、認証制御部2e又は通信制御部2fが外部ツール5とアクセス対象のECUとの間でのデータ通信を拒否している状態で、特定のデータ通信のみを例外的に許可する。認証維持部2hは、認証制御部2eが認証状態を設定すると、その設定した認証状態、即ち、外部ツール5とアクセス対象のECUとの間でのデータ通信を許可する期間を維持する。
尚、制御部2aは、外部ツール5から外部ツール側バス通信部2cにより受信した平文のコマンドを暗号化して暗文のコマンドに書換える暗号化機能、ECU3やECU4からECU側バス通信部2bにより受信した暗文のコマンドを復号化して平文のコマンドに書換える復号化機能を有する。ここでいう暗号化及び復号化とは、公開鍵により暗号化して秘密鍵により復号化する公開鍵暗号方式や、共通鍵により暗号化及び復号化する共通鍵暗号方式等の周知の方式である。
ECU3は、制御部3aと、バス通信部3bと、車両状態入力部3cとを有する。制御部3aは、マイクロコンピュータを有して構成されており、マイクロコンピュータが制御プログラムを実行することで、バス通信部3b、車両状態入力部3cの動作を制御する。バス通信部3bは、ECU側バス6aに接続されており、車両用ゲートウェイ装置2との間でデータの送受信動作を制御する。車両状態入力部3cは、外部(各種センサ、別のECU、無線機等)から車両状態を入力する。車両状態入力部3cが入力する車両状態は、例えばイモビライザの状態(施錠状態又は解除状態)、イグニッション(IG)スイッチの状態(オン状態又はオフ状態)、ドアの状態(開状態又は閉状態)等である。
ECU4は、制御部4aと、バス通信部4bとを有する。制御部4aは、マイクロコンピュータを有して構成されており、マイクロコンピュータが制御プログラムを実行することで、バス通信部4bの動作を制御する。バス通信部4bは、ECU側バス6aに接続されており、車両用ゲートウェイ装置2との間でデータの送受信動作を制御する。
尚、ECU3やECU4は、例えばエンジンECUであれば、上記した機能ブロックの他にエンジンの動作を制御する機能ブロック(図示せず)を有し、ドアロックECUであれば、上記した機能ブロックの他にドアロック機構の動作を制御する機能ブロック(図示せず)を有する。ECU3やECU4は、エンジンECUやドアロックECU以外のECUであっても同様である。又、ECU3とECU4との双方が外部から車両状態を入力する構成であっても良い。
外部ツール5は、制御部5aと、バス通信部5bと、入出力インタフェース(IF)部5cとを有する。制御部5aは、マイクロコンピュータを有して構成されており、マイクロコンピュータが制御プログラムを実行することで、バス通信部5b、入出力IF部5cの動作を制御する。バス通信部5bは、外部ツール側バス6bに接続されており、車両用ゲートウェイ装置2との間でデータの送受信動作を制御する。入出力IF部5cは、外部ツール5を操作する作業者からの操作入力を受付けたりデータを表示して通知したりする機能を有する。
即ち、作業者は、外部ツール5をコネクタ7に接続し、外部ツール5にて操作入力を行うことで、アクセス対象のECUの制御プログラムを書換えたり、アクセス対象のECUからデータを読出したりすることが可能である。尚、外部ツール5は、アクセス対象のECUの制御プログラムを書換えたり、アクセス対象のECUからデータを読出したりする専用の機器に限らず、それらの機能を有する携帯電話機や携帯情報端等であっても良い。
次に、上記した構成の作用について、図2乃至図9を参照して説明する。ここでは、ECU4がアクセス対象のECUであり、外部ツール5からアクセス対象のECU4へデータ要求コマンドが送信されることで、アクセス対象のECU4の制御プログラムが書換えられたりアクセス対象のECU4からデータが読出されたりする場合を説明する。
外部ツール5において、制御部5aは、外部ツール5がコネクタ7に接続されたと判定すると、認証シード要求コマンドをバス通信部5bから車両用ゲートウェイ装置2へ送信させる。車両用ゲートウェイ装置2において、制御部2aは、外部ツール5から認証シード要求コマンドを外部ツール側バス通信部2cにより受信したと判定すると、認証シードを生成し(ステップB1)、その生成した認証シードを外部ツール側バス通信部2cから外部ツール5へ送信させる。認証シードは、後述する認証コードを生成する際に使用される情報であり、乱数で表記される。
外部ツール5において、制御部5aは、車両用ゲートウェイ装置2から認証シードをバス通信部5bにより受信したと判定すると、その認証シードに基づいて(認証シードと関連付けて)認証コードを生成し(ステップA1)、その生成した認証コードをバス通信部5bから車両用ゲートウェイ装置2へ送信させる。認証コードは、上記した認証シードと同様に乱数で表記される。尚、以上は、外部ツール5が認証シードを保有しない場合を説明したが、外部ツール5が自らで認証シードを保有していれば、外部ツール5が自らで保有している認証シードに基づいて認証コードを生成し、その生成した認証コードをバス通信部5bから車両用ゲートウェイ装置2へ送信させても良い。
車両用ゲートウェイ装置2において、制御部2aは、外部ツール5から認証コードを外部ツール側バス通信部2cにより受信したと判定すると、これよりも先に外部ツール5へ送信させた認証シードと、外部ツール5から受信した認証コードとを照合し、外部ツール5に対する認証結果の正否を判定する(ステップB2)。
即ち、正規の作業者が正規な外部ツールをコネクタ7に接続した場合であれば、車両用ゲートウェイ装置2から受信した認証シードに基づいて認証コードを正しく生成し、その正しく生成した認証コードを車両用ゲートウェイ装置2へ送信する機能を搭載しているので、認証シードと認証コードとが対応し、外部ツール5に対する認証結果が正となる。
一方、悪意を持った第三者が不正な外部ツールをコネクタ7に接続した場合であれば、車両用ゲートウェイ装置2から受信した認証シードに基づいて認証コードを正しく生成する機能を搭載していないので、認証コードを正しく生成することが不可能であったり、認証コードを車両用ゲートウェイ装置2へ送信することが不可能であったり、誤った認証コードを車両用ゲートウェイ装置2へ送信したりし、認証シードと認証コードとが対応することなく、外部ツール5に対する認証結果が否となる。
車両用ゲートウェイ装置2において、制御部2aは、外部ツール5に対する認証結果が正であり、正規な外部ツールであると判定すると(ステップB3:YES)、認証結果が正であることを示す認証結果正応答コマンドを外部ツール側バス通信部2cから外部ツール5へ送信させ、外部ツール5に対する認証結果が正である認証状態を設定する(ステップB4)。制御部2aは、認証状態を設定している期間では、これ以降に外部ツール5からのデータ要求コマンドの受信を許可し(データ通信を許可する)、一方、認証状態を設定していない期間では、これ以降に外部ツール5からのデータ要求コマンドの受信を拒否する(データ通信を拒否する)。
外部ツール5において、制御部5aは、車両用ゲートウェイ装置2から認証結果正応答コマンドをバス通信部5bにより受信したと判定した後に、例えば作業者からの操作入力を受付けると、その操作入力に応じてデータ要求コマンドをバス通信部5bから車両用ゲートウェイ装置2へ送信させる。この場合、外部ツール5から車両用ゲートウェイ装置2へ送信されるデータ要求コマンドには、データ要求コマンドの送信先であるアクセス対象のECU4を特定可能な情報が含まれている。
車両用ゲートウェイ装置2において、制御部2aは、外部ツール5からデータ要求コマンドを外部ツール側バス通信部2cにより受信したと判定すると、その受信したデータ要求コマンドを解析し、外部ツール5に対する認証を行う必要があるか否か判定する(ステップB5)。具体的には、制御部2aは、データ要求コマンドが法規メッセージ(法規コマンド)であるか非法規メッセージ(非法規コマンド)であるかを判定することで、外部ツール5に対する認証を行う必要があるか否か判定する。法規メッセージとは外部ツール5からの要求に対して応答することが必須であるメッセージであり、例えばエンジン系に関するデータを要求するメッセージ等である。一方、非法規メッセージとは外部ツール5からの要求に対して応答することが必須でないメッセージである。尚、データ要求コマンドが法規メッセージであるか非法規メッセージであるかを判定することは、データ要求コマンドの送信先であるアクセス対象のECU4が法規ECUであるか非法規ECUであるかを判定することでもある。
制御部2aは、データ要求コマンドが非法規メッセージであると判定し、外部ツール5に対する認証を行う必要があると判定すると(ステップB5:YES)、これよりも先に行った外部ツール5に対する認証結果の正否を判定する(ステップB6)。制御部2aは、これよりも先に行った外部ツール5に対して行った認証結果が正であると判定すると(ステップB6:YES)、データ要求コマンドを暗号化する必要があるか否か判定する(ステップB7)。具体的には、制御部2aは、この場合も、データ要求コマンドが法規メッセージであるか非法規メッセージであるかを判定することで、データ要求コマンドを暗号化する必要があるか否かを判定する。
制御部2aは、データ要求コマンドが非法規メッセージであると判定し、データ要求コマンドを暗号化する必要があると判定すると(ステップB7:YES)、データ要求コマンドを暗号化し(ステップB8)、暗号化したデータ要求コマンドをECU側バス通信部2bからアクセス対象のECU4へ送信させる。一方、制御部2aは、データ要求コマンドが法規メッセージであると判定し、データ要求コマンドを暗号化する必要がないと判定すると(ステップB7:NO)、データ要求コマンドを暗号化することなく、そのままのデータ要求コマンドをECU側バス通信部2bからアクセス対象のECU4へ送信させる。
アクセス対象のECU4において、制御部4aは、車両用ゲートウェイ装置2からデータ要求コマンドをバス通信部4bにより受信したと判定すると、その受信したデータ要求コマンドを復号化する必要があるか否か判定する(ステップC1)。具体的には、制御部4aは、車両用ゲートウェイ装置2から受信したデータ要求コマンドが暗号化されていると判定すると、データ要求コマンドを復号化する必要があると判定し(ステップC1:YES)、データ要求コマンドを復号化し(ステップC2)、データ要求コマンドの内容に応じたデータ処理を行う(制御プログラムを書換えたりデータを読出したりする)(ステップC3)。一方、制御部4aは、車両用ゲートウェイ装置2から受信したデータ要求コマンドが暗号化されていないと判定すると、データ要求コマンドを復号化する必要がないと判定し(ステップC1:NO)、データ要求コマンドの内容に応じたデータ処理を行う(ステップC3)。
次いで、制御部4aは、データ処理を完了すると、データ処理を完了したことを示すデータ応答コマンドを暗号化する必要があるか否かを判定する(ステップC4)。この場合、制御部4aは、例えば車両用ゲートウェイ装置2から受信したデータ要求コマンドが暗号化されていた場合には、データ応答コマンドを暗号化する必要があると判定する。一方、制御部4aは、車両用ゲートウェイ装置2から受信したデータ要求コマンドが暗号化されていなかった場合には、データ応答コマンドを暗号化する必要がないと判定する。又、制御部4aは、データ応答コマンドの重要度を予め規定しておくことで、車両用ゲートウェイ装置2から受信したデータ要求コマンドが暗号化されていたか否かに関係なくデータ応答コマンドの重要度に応じて暗号化する必要があるか否かを判定しても良い。
制御部4aは、データ応答コマンドを暗号化する必要があると判定すると(ステップC4:YES)、データ応答コマンドを暗号化し(ステップC5)、暗号化したデータ応答コマンドをバス通信部4bから車両用ゲートウェイ装置2へ送信させる。一方、制御部4aは、データ応答コマンドを暗号化する必要がないと判定すると(ステップC4:NO)、データ応答コマンドを暗号化することなく、そのままのデータ応答コマンドをバス通信部4bから車両用ゲートウェイ装置2へ送信させる。
車両用ゲートウェイ装置2において、制御部2aは、アクセス対象のECU4からデータ応答コマンドをECU側バス通信部2bにより受信したと判定すると、その受信したデータ応答コマンドを復号化する必要があるか否か判定する(ステップB9)。具体的には、制御部2aは、アクセス対象のECU4から受信したデータ応答コマンドが暗号化されていると判定すると、データ応答コマンドを復号化する必要があると判定し(ステップB9:YES)、暗号化されているデータ応答コマンドを復号化し(ステップB10)、復号化したデータ応答コマンドを外部ツール側通信部2cから外部ツール5へ送信させる。一方、制御部2aは、アクセス対象のECU4から受信したデータ応答コマンドが暗号化されていないと判定すると、データ応答コマンドを復号化する必要がないと判定し(ステップB9:NO)、そのままのデータ応答コマンドを外部ツール側通信部2cから外部ツール5へ送信させる。
上記したように、車両用ゲートウェイ装置2において、制御部2aは、外部ツール5が接続されると、その外部ツール5に対して認証を行い、外部ツール5に対して行った認証結果が正であると判定すると(ステップB3:YES)、コネクタ7に接続された外部ツール5が正規な外部ツールであると特定し、図2に示すように、認証状態を設定する(ステップB4)。そして、制御部2aは、これ以降に外部ツール5からデータ要求コマンドが法規メッセージであるか非法規メッセージであるかに拘らず、そのデータ要求コマンドの受信を許可する(データ通信を許可する)。
一方、制御部2aは、外部ツール5に対して行った認証結果が否であると判定すると(ステップB3:NO)、コネクタ7に接続された外部ツール5が不正な外部ツールであると特定し、図4に示すように、認証状態を設定しない。そして、制御部2aは、これ以降に外部ツール5からデータ要求コマンドが認証を必要とする非法規メッセージであると判定すると、これよりも先に行った認証結果が否であり、認証状態を設定していないことから、そのデータ要求コマンドを破棄し、そのデータ要求コマンドの受信を拒否する(ステップB11)(データ通信を拒否する)。この場合、データ要求コマンドの受信を拒否することとは、データ要求コマンドを破棄しなくとも、データ要求コマンドを無効とする(データ要求コマンドの内容に応じた処理を行わない)ことも含む。
尚、以上は、車両用ゲートウェイ装置2が外部ツール5から受信したデータ要求コマンドを必要に応じて暗号化する場合を説明したが、外部ツール5が自らでデータ要求コマンドを暗号化する機能を有することで、外部ツール5が自らでデータ要求コマンドを必要に応じて暗号化しても良い。
さて、制御部2aは、上記したように、認証結果が正であると判定すると、外部ツール5からのデータ要求コマンドの受信を許可する認証状態を設定するが、その認証状態を維持する期間を以下に示すように管理する。
(1)認証状態を設定した時点から所定時間が経過するまでの期間
(2)外部から認証状態維持要求信号が入力されている期間
(3)車両状態が所定条件を満たしている期間
(4)バス6が通信状態中の期間
のうち何れかを判定し、認証状態を維持する期間を管理する。
(2)外部から認証状態維持要求信号が入力されている期間
(3)車両状態が所定条件を満たしている期間
(4)バス6が通信状態中の期間
のうち何れかを判定し、認証状態を維持する期間を管理する。
以下、これら(1)〜(4)について順次説明する。
(1)認証状態を設定した時点から所定時間が経過するまでの期間
車両用ゲートウェイ装置2において、制御部2aは、図5に示すように、認証状態を設定した後に(ステップB4)、所定時間を計時する認証維持タイマをスタートし(ステップB12)、認証維持タイマがタイムアップしたか否かを監視する(ステップB13)。そして、制御部2aは、認証維持タイマがタイムアップしたと判定すると(ステップB13:YES)、認証状態を解除する(ステップB14)。この場合は、車両用ゲートウェイ装置2が単独で認証状態を維持する期間を管理する。尚、認証維持タイマが計時する所定時間は、製造時に設定される初期値でも良いし、外部ツール5を操作する作業者からの操作入力により設定される設定値であっても良い。
(1)認証状態を設定した時点から所定時間が経過するまでの期間
車両用ゲートウェイ装置2において、制御部2aは、図5に示すように、認証状態を設定した後に(ステップB4)、所定時間を計時する認証維持タイマをスタートし(ステップB12)、認証維持タイマがタイムアップしたか否かを監視する(ステップB13)。そして、制御部2aは、認証維持タイマがタイムアップしたと判定すると(ステップB13:YES)、認証状態を解除する(ステップB14)。この場合は、車両用ゲートウェイ装置2が単独で認証状態を維持する期間を管理する。尚、認証維持タイマが計時する所定時間は、製造時に設定される初期値でも良いし、外部ツール5を操作する作業者からの操作入力により設定される設定値であっても良い。
(2)外部から認証状態維持要求信号が入力されている期間
車両用ゲートウェイ装置2において、制御部2aは、図6に示すように、認証状態を設定した後に(ステップB4)、外部ツール5から認証状態維持要求コマンドを外部ツール側バス通信部2cにより受信したと判定している期間では認証状態を維持し、外部ツール5から認証状態解除要求コマンドを外部ツール側バス通信部2cにより受信したと判定すると、認証状態を解除する(ステップB14)。この場合は、外部ツール5が主導となって認証状態を維持する期間を管理する。
車両用ゲートウェイ装置2において、制御部2aは、図6に示すように、認証状態を設定した後に(ステップB4)、外部ツール5から認証状態維持要求コマンドを外部ツール側バス通信部2cにより受信したと判定している期間では認証状態を維持し、外部ツール5から認証状態解除要求コマンドを外部ツール側バス通信部2cにより受信したと判定すると、認証状態を解除する(ステップB14)。この場合は、外部ツール5が主導となって認証状態を維持する期間を管理する。
又、車両用ゲートウェイ装置2において、制御部2aは、図7に示すように、認証状態を設定した後に(ステップB4)、認証状態設定通知コマンドをECU側バス通信部2bからアクセス対象のECU4へ送信させることで、アクセス対象のECU4から認証状態維持要求コマンドを送信させ、アクセス対象のECU4から認証状態維持要求コマンドをECU側バス通信部2bにより受信したと判定している期間では認証状態を維持し、アクセス対象のECU4から認証状態解除要求コマンドをECU側バス通信部2bにより受信したと判定すると、認証状態を解除する(ステップB14)。この場合は、アクセス対象のECU4が主導となって認証状態を維持する期間を管理する。尚、外部ツール5やアクセス対象のECU4が認証状態維持要求コマンドを車両用ゲートウェイ装置2へ定期的に送信する所定時間は、製造時に設定される初期値でも良いし、外部ツール5を操作する作業者からの操作入力により設定される設定値であっても良い。
(3)車両状態が所定条件を満たしている期間
車両用ゲートウェイ装置2において、制御部2aは、図8に示すように、認証状態を設定した後に(ステップB4)、ECU3から車両状態をECU側バス通信部2bにより受信することで、車両状態が所定条件を満たしているか否かを判定する(ステップB15)。具体的には、制御部2aは、例えばイモビライザが解除状態であること、イグニッションスイッチがオフであること、ドアが閉鎖状態であることのうち何れかの条件を満たしていると、車両状態が所定条件を満たしていると判定し(ステップB15:YES)、車両状態が所定条件を満たしていると判定している期間では認証状態を維持する。一方、制御部2aは、車両状態が所定条件を満たさなくなったと判定すると(ステップB15:NO)、認証状態を解除する(ステップB14)。この場合は、車両用ゲートウェイ装置2が車両状態に依存して認証状態を維持する期間を管理する。
車両用ゲートウェイ装置2において、制御部2aは、図8に示すように、認証状態を設定した後に(ステップB4)、ECU3から車両状態をECU側バス通信部2bにより受信することで、車両状態が所定条件を満たしているか否かを判定する(ステップB15)。具体的には、制御部2aは、例えばイモビライザが解除状態であること、イグニッションスイッチがオフであること、ドアが閉鎖状態であることのうち何れかの条件を満たしていると、車両状態が所定条件を満たしていると判定し(ステップB15:YES)、車両状態が所定条件を満たしていると判定している期間では認証状態を維持する。一方、制御部2aは、車両状態が所定条件を満たさなくなったと判定すると(ステップB15:NO)、認証状態を解除する(ステップB14)。この場合は、車両用ゲートウェイ装置2が車両状態に依存して認証状態を維持する期間を管理する。
(4)バス6が通信状態中の期間
車両用ゲートウェイ装置2において、制御部2aは、図9に示すように、認証状態を設定した後に(ステップB4)、バス6が通信状態中であるか否かを判定する(ステップB16)。具体的には、制御部2aは、ECU側バス通信部2b及び外部ツール側バス通信部2dの何れかが通信状態中であると判定すると、バス6が通信状態中であると判定し(ステップB16:YES)、バス6が通信状態中であると判定している期間では認証状態を維持し、バス6が通信状態中でなくなったと判定すると(ステップB16:NO)、認証状態を解除する(ステップB14)。この場合は、車両用ゲートウェイ装置2がバス6の通信状態に依存して認証状態を維持する期間を管理する。
車両用ゲートウェイ装置2において、制御部2aは、図9に示すように、認証状態を設定した後に(ステップB4)、バス6が通信状態中であるか否かを判定する(ステップB16)。具体的には、制御部2aは、ECU側バス通信部2b及び外部ツール側バス通信部2dの何れかが通信状態中であると判定すると、バス6が通信状態中であると判定し(ステップB16:YES)、バス6が通信状態中であると判定している期間では認証状態を維持し、バス6が通信状態中でなくなったと判定すると(ステップB16:NO)、認証状態を解除する(ステップB14)。この場合は、車両用ゲートウェイ装置2がバス6の通信状態に依存して認証状態を維持する期間を管理する。
以上に説明したように第1の実施形態によれば、外部ツール5とECU3及びECU4とを切分けるように車両用ゲートウェイ装置2がバス6に接続され、車両用ゲートウェイ装置2において、外部ツール5が接続されると、その外部ツール5に対して認証を行い、外部ツール5に対して行った認証結果が正であると判定すると、認証状態を設定し、これ以降に外部ツール5からデータ要求コマンドが認証を必要とする非法規メッセージであるか否かに拘らず、そのデータ要求コマンドの受信を許可し、一方、外部ツール5に対して行った認証結果が否であると判定すると、認証状態を設定することなく、これ以降に外部ツール5からデータ要求コマンドが認証を必要とする非法規メッセージであると判定すると、そのデータ要求コマンドの受信を拒否するようにした。
これにより、不正な外部ツールがバス6に接続された場合であっても、不正な外部ツールが接続されたことによる被害を抑制することができ、セキュリティ性を高めることができる。この場合、外部ツール5とECU3及びECU4との間で規定されているデータ通信方式の仕様を変更する必要はない。又、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができ、セキュリティ性をより一層高めることができる。又、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で一括して行うことで、車両用ゲートウェイ装置2を追加(増設)することで実現することができ、既存のシステムの変更を極力抑えつつ実現することができる。
又、外部ツール5とアクセス対象のECUとの間でのデータ通信を拒否する期間において特定のデータ(例えば法規メッセージ)については例外的に外部ツール5とアクセス対象のECUとの間でのデータ通信を許可するようにした。これにより、不正な外部ツールが接続されたことによる被害を抑制することができつつ、特定のデータのデータ通信が阻害されることを回避することができる。
(第2の実施形態)
次に、本発明の第2の実施形態について、図10及び図11を参照して説明する。尚、上記した第1の実施形態と同一部分については説明を省略し、異なる部分について説明する。第1の実施形態は、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成であるが、第2の実施形態は、何れかのECUに認証機能を持たせることで、認証用のECUを設定し、外部ツール5に対する認証を認証用のECUで行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成である。
次に、本発明の第2の実施形態について、図10及び図11を参照して説明する。尚、上記した第1の実施形態と同一部分については説明を省略し、異なる部分について説明する。第1の実施形態は、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成であるが、第2の実施形態は、何れかのECUに認証機能を持たせることで、認証用のECUを設定し、外部ツール5に対する認証を認証用のECUで行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成である。
即ち、車両用データ通信認証システム11において、認証用のECU3は、認証部3dを有する。認証部3dは、第1の実施形態で説明した車両用ゲートウェイ装置2の認証部2dの代わりに設けられており、認証部2dと同等の機能を有する。
認証用のECU3において、制御部3aは、外部ツール5から認証シード要求コマンドを車両用ゲートウェイ装置2を介してバス通信部3bにより受信したと判定すると、第1の実施形態で説明した車両用ゲートウェイ装置2が行うステップB1乃至B3に相当するステップD1乃至D3を行い、外部ツール5に対して行った認証結果が正であると判定すると(ステップD3:YES)、認証結果が正であることを示す認証結果正応答コマンドをバス通信部3bから車両用ゲートウェイ装置2へ送信させる。
車両用ゲートウェイ装置2において、制御部2aは、認証用のECU3から認証結果正応答コマンドをECU側バス通信部2bにより受信したと判定すると、認証結果正応答コマンドを外部ツール側バス通信部2cから外部ツール5へ送信させ、第1の実施形態で説明したステップB4、B12乃至B14を行う。即ち、認証用のECU3において、外部ツール5に対する認証を行い、車両用ゲートウェイ装置2において、認証状態を設定し、認証状態を設定した時点から所定時間が経過するまでの期間に限り認証状態を維持する。尚、以上は、認証状態を設定した時点から所定時間が経過するまでの期間に限り認証状態を維持する場合を説明したが、第1の実施形態と同様に、例えば外部ツール5や認証用のECU3等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第2の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、外部ツール5に対する認証を認証用のECU3で行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行うことで、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3と車両用ゲートウェイ装置2とで分散して行うことができる。
(第3の実施形態)
次に、本発明の第3の実施形態について、図12及び図13を参照して説明する。第3の実施形態は、車両用ゲートウェイ装置2がバス6に接続されていない構成であり、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3で行う構成である。
次に、本発明の第3の実施形態について、図12及び図13を参照して説明する。第3の実施形態は、車両用ゲートウェイ装置2がバス6に接続されていない構成であり、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3で行う構成である。
即ち、車両用データ通信認証システム31において、認証用のECU3は、認証部3dと、認証制御部3eと、通信制御部3fと、フィルタリング部3gと、認証維持部3hとを有する。認証部3d、認証制御部3e、通信制御部3f、フィルタリング部3g、認証維持部3hは、第1の実施形態で説明した認証部2d、認証制御部2e、通信制御部2f、フィルタリング部2g、認証維持部2hと同等の機能を有する。
認証用のECU3において、制御部3aは、外部ツール5から認証シード要求コマンドをバス通信部3bにより受信したと判定すると、第1の実施形態で説明した車両用ゲートウェイ装置2が行うステップB1乃至B3に相当するステップD1乃至D3を行い、外部ツール5に対して行った認証結果が正であると判定すると(ステップD3:YES)、認証結果が正であることを示す認証結果正応答コマンドをバス通信部3bから外部ツール5へ送信させ、第1の実施形態で説明した車両用ゲートウェイ装置2が行うステップB4、B12乃至B14に相当するステップD4乃至D7を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5やアクセス対象のECU4等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第3の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3で行うことで、車両用ゲートウェイ装置2を不要とすることができる。又、アクセス対象のECU4が認証制御部4dと認証維持部4gとを有することで、外部ツール5に対する認証を認証用のECU3で行い、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行うようにしても良い。即ち、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を複数のECUで分散して行っても良い。
(第4の実施形態)
次に、本発明の第4の実施形態について、図14及び図15を参照して説明する。第4の実施形態は、車両用ゲートウェイ装置2がバス6に接続されていない構成であり、外部ツール5に対する認証、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行う構成である。
次に、本発明の第4の実施形態について、図14及び図15を参照して説明する。第4の実施形態は、車両用ゲートウェイ装置2がバス6に接続されていない構成であり、外部ツール5に対する認証、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行う構成である。
即ち、車両用データ通信認証システム41において、アクセス対象のECU4は、認証部4cと、認証制御部4dと、通信制御部4eと、フィルタリング部4fと、認証維持部4hとを有する。認証部4c、認証制御部4d、通信制御部4e、フィルタリング部4f、認証維持部4hは、第1の実施形態で説明した認証部2d、認証制御部2e、通信制御部2f、フィルタリング部2g、認証維持部2hと同等の機能を有する。
アクセス対象のECU4において、制御部4aは、外部ツール5から認証シード要求コマンドをバス通信部4bにより受信したと判定すると、第3の実施形態で説明した認証用のECU3が行うステップD1乃至D7に相当するステップC6乃至C12を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5や認証用のECU3等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第4の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、外部ツール5に対する認証、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行うことで、車両用ゲートウェイ装置2を不要とすることができる。又、認証用のECU3が認証制御部3eと認証維持部3hとを有することで、外部ツール5に対する認証をアクセス対象のECU4で行い、認証状態の設定及び認証状態の維持を認証用のECU3で行うようにしても良い。即ち、この場合も、外部ツール5に対する認証、認証状態の設定及び認証状態の維持を複数のECUで分散して行っても良い。
(第5の実施形態)
次に、本発明の第5の実施形態について、図16及び図17を参照して説明する。第5の実施形態は、ECU側バス6aに通信装置8が接続され、外部ツール5及び通信装置8と例えば広域通信網を介して通信可能にセンター(サーバ)7が設けられ、外部ツール5に対する認証をセンター7で行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成である。
次に、本発明の第5の実施形態について、図16及び図17を参照して説明する。第5の実施形態は、ECU側バス6aに通信装置8が接続され、外部ツール5及び通信装置8と例えば広域通信網を介して通信可能にセンター(サーバ)7が設けられ、外部ツール5に対する認証をセンター7で行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成である。
即ち、車両用データ通信認証システム41において、センター7は、認証部7aを有する。認証部7aは、第1の実施形態で説明した車両用ゲートウェイ装置2の認証部2dの代わりに設けられており、第1の実施形態で説明した認証部2dと同等の機能を有する。
センター7は、外部ツール5から認証シード要求コマンドを受信したと判定すると、第1の実施形態で説明した車両用ゲートウェイ装置2が行うステップB1乃至B3に相当するステップE1乃至E3を行い、外部ツール5に対して行った認証結果が正であると判定すると(ステップE3:YES)、認証結果が正であることを示す認証結果正応答コマンドを外部ツール5及び通信装置8へ送信させる。
車両用ゲートウェイ装置2において、制御部2aは、センター7から認証結果正応答コマンドを通信装置8により受信し、通信装置8から認証結果正応答コマンドを受信したと判定すると、第1の実施形態で説明したステップB4、B12乃至B14を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5やアクセス対象のECU4等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第5の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、外部ツール5に対する認証をセンター7で行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行うことで、外部ツール5に対する認証、認証状態の設定及び認証状態の維持をセンター7と車両用ゲートウェイ装置2とで分散して行うことができる。又、外部ツール5に対する認証を車両用データ通信認証システム41の外部であるセンター7で行うことで、例えば認証シードを逐一更新することでセキュリティが強固な認証を行うことができ、セキュリティ性をより一層高めることができる。
(第6の実施形態)
次に、本発明の第6の実施形態について、図18及び図19を参照して説明する。第6の実施形態は、バス6に通信装置8が接続され、外部ツール5及び通信装置8と通信可能にセンター(サーバ)7が設けられ、外部ツール5に対する認証をセンター7で行い、認証状態の設定及び認証状態の維持を認証用のECU3で行う構成である。
次に、本発明の第6の実施形態について、図18及び図19を参照して説明する。第6の実施形態は、バス6に通信装置8が接続され、外部ツール5及び通信装置8と通信可能にセンター(サーバ)7が設けられ、外部ツール5に対する認証をセンター7で行い、認証状態の設定及び認証状態の維持を認証用のECU3で行う構成である。
センター7は、外部ツール5から認証シード要求コマンドを受信したと判定すると、第1の実施形態で説明した車両用ゲートウェイ装置2が行うステップB1乃至B3に相当するステップE1乃至E3を行い、外部ツール5に対して行った認証結果が正であると判定すると(ステップE3:YES)、認証結果が正であることを示す認証結果正応答コマンドを外部ツール5及び通信装置8へ送信させる。
認証用のECU3において、制御部3aは、センター7から認証結果正応答コマンドを通信装置8により受信し、通信装置8から認証結果正応答コマンドを受信したと判定すると、第2の実施形態で説明したステップD4乃至D7を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5やアクセス対象のECU4等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第6の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、外部ツール5に対する認証をセンター7で行い、認証状態の設定及び認証状態の維持を認証用のECU3で行うことで、外部ツール5に対する認証、認証状態の設定及び認証状態の維持をセンター7と認証用のECU3とで分散して行うことができる。又、外部ツール5に対する車両用データ通信認証システム51の外部であるセンター7で行うことで、例えば認証シードを逐一更新することでセキュリティが強固な認証を行うことができ、セキュリティ性をより一層高めることができる。
(第7の実施形態)
次に、本発明の第7の実施形態について、図20を参照して説明する。第7の実施形態は、外部ツール5に対する認証を直接的に行えない場合であっても、車両状態に対する認証を行うことで、外部ツール5に対する認証を間接的に行う構成である。第7の実施形態は、第1の実施形態と同様の機能ブロックで実現する(図1)。
次に、本発明の第7の実施形態について、図20を参照して説明する。第7の実施形態は、外部ツール5に対する認証を直接的に行えない場合であっても、車両状態に対する認証を行うことで、外部ツール5に対する認証を間接的に行う構成である。第7の実施形態は、第1の実施形態と同様の機能ブロックで実現する(図1)。
車両用ゲートウェイ装置2において、制御部2aは、ECU3から車両状態をECU側バス通信部2bにより受信することで、車両状態を特定し(ステップB17)、車両状態が所定条件を満たしているか否かを判定することで、車両状態に対して認証を行い、車両状態に対して行った認証結果の正否を判定する(ステップB18)。具体的には、制御部2aは、例えばイモビライザが解除状態であること、イグニッションスイッチがオフであること、ドアが閉鎖状態であることのうち何れかの条件を満たしているか否かを判定する。
即ち、正規の作業者が正規な外部ツールをコネクタ7に接続した場合であれば、例えばイモビライザが解除状態であり、イグニッションスイッチがオフであり、ドアが閉鎖状態である等の正常な状態であり、車両状態に対する認証結果が正となる。一方、悪意を持った第三者が不正な外部ツールをコネクタ7に接続した場合であれば、例えばイモビライザが解除状態でなく、イグニッションスイッチがオフでなく、ドアが閉鎖状態でない等の異常な状態であり、車両状態に対する認証結果が否となる。
車両用ゲートウェイ装置2において、制御部2aは、車両状態に対して行った認証結果が正であると判定すると(ステップB19:YES)、認証結果が正であることを示す認証結果正応答コマンドを外部ツール側バス通信部2cから外部ツール5へ送信させ、車両状態に対する認証結果が正である認証状態を設定する(ステップB4)。制御部2aは、認証状態を設定している期間では、これ以降に外部ツール5からデータ要求コマンドの受信を許可し(データ通信を許可する)、一方、認証状態を設定していない期間では、これ以降に外部ツール5からデータ要求コマンドの受信を拒否する(データ通信を拒否する)。
制御部2aは、このようにして認証状態を設定すると(ステップB4)、第1の実施形態で説明したステップB12乃至B14を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5やアクセス対象のECU4等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第7の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、車両状態に対する認証、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で一括して行うことで、車両用ゲートウェイ装置2を追加(増設)することで実現することができ、既存のシステムの変更を極力抑えつつ実現することができる。
(第8の実施形態)
次に、本発明の第8の実施形態について、図21を参照して説明する。第8の実施形態は、車両状態に対する認証を認証用のECUで行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成である。第8の実施形態は、第2の実施形態と同様の機能ブロックで実現する(図10)。
次に、本発明の第8の実施形態について、図21を参照して説明する。第8の実施形態は、車両状態に対する認証を認証用のECUで行い、認証状態の設定及び認証状態の維持を車両用ゲートウェイ装置2で行う構成である。第8の実施形態は、第2の実施形態と同様の機能ブロックで実現する(図10)。
認証用のECU3において、制御部3aは、外部から車両状態を入力することで、車両状態を特定し(ステップD8)、車両状態が所定条件を満たしているか否かを判定することで、車両状態に対して認証を行い、車両状態に対して行った認証結果の正否を判定する(ステップD9)。制御部3aは、車両状態に対して行った認証結果が正であると判定すると(ステップD10:YES)、認証結果が正であることを示す認証結果正応答コマンドをバス通信部3bから車両用ゲートウェイ装置2へ送信させる。
車両用ゲートウェイ装置2において、制御部2aは、認証用のECU3から認証結果正応答コマンドをECU側バス通信部2bにより受信したと判定すると、認証結果正応答コマンドを外部ツール側バス通信部2cから外部ツール5へ送信させ、第1の実施形態で説明したステップB4、B12乃至B14を行う。即ち、認証用のECU3において、車両状態に対する認証を行い、車両用ゲートウェイ装置2において、認証状態を設定し、認証状態を設定した時点から所定時間が経過するまでの期間に限り認証状態を維持する。この場合も、第1の実施形態と同様に、例えば外部ツール5や認証用のECU3等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第8の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。
(第9の実施形態)
次に、本発明の第9の実施形態について、図22を参照して説明する。第9の実施形態は、車両状態に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3で行う構成である。第9の実施形態は、第3の実施形態と同様の機能ブロックで実現する(図12)。
次に、本発明の第9の実施形態について、図22を参照して説明する。第9の実施形態は、車両状態に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3で行う構成である。第9の実施形態は、第3の実施形態と同様の機能ブロックで実現する(図12)。
認証用のECU3において、制御部3aは、外部から車両状態を入力することで、第7の実施形態で説明したステップD8乃至D10を行い、車両状態に対して行った認証結果が正であると判定すると(ステップD10:YES)、認証結果が正であることを示す認証結果正応答コマンドをバス通信部3bから外部ツール5へ送信させ、第3の実施形態で説明したステップD4乃至D7を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5やアクセス対象のECU4等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第9の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、車両状態に対する認証、認証状態の設定及び認証状態の維持を認証用のECU3で行うことで、車両用ゲートウェイ装置2を不要とすることができる。又、アクセス対象のECU4が認証制御部4dと認証維持部4gとを有することで、車両状態に対する認証を認証用のECU3で行い、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行うようにしても良い。即ち、車両状態に対する認証、認証状態の設定及び認証状態の維持を複数のECUで分散して行っても良い。
(第10の実施形態)
次に、本発明の第10の実施形態について、図23を参照して説明する。第10の実施形態は、車両状態に対する認証、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行う構成である。第10の実施形態は、第4の実施形態と同様の機能ブロックで実現する(図14)。
次に、本発明の第10の実施形態について、図23を参照して説明する。第10の実施形態は、車両状態に対する認証、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行う構成である。第10の実施形態は、第4の実施形態と同様の機能ブロックで実現する(図14)。
アクセス対象のECU4において、制御部4aは、ECU3から車両状態をバス通信部4bにより受信することで、車両状態を特定し(ステップC13)、車両状態が所定条件を満たしているか否かを判定することで、車両状態に対して認証を行い、車両状態に対して行った認証結果の正否を判定し(ステップC14)、車両状態に対して行った認証結果が正であると判定すると(ステップC14:YES)、認証結果が正であることを示す認証結果正応答コマンドをバス通信部4bから外部ツール5へ送信させ、第4の実施形態で説明したステップC9至C12を行う。この場合も、第1の実施形態と同様に、例えば外部ツール5や認証用のECU3等の外部から認証状態維持要求信号が入力されている期間、車両状態が所定条件を満たしている期間、バス6が通信状態中の期間に限り認証状態を維持するようにしても良い。
以上に説明したように第10の実施形態によれば、第1の実施形態と同様に、認証状態を維持する期間を管理することで、例えば外部ツール5の接続が解除された後に、外部ツール5とアクセス対象のECU4との間でのデータ通信を許可する期間が不要に継続することを未然に回避することができる。又、車両状態に対する認証、認証状態の設定及び認証状態の維持をアクセス対象のECU4で行うことで、車両用ゲートウェイ装置2を不要とすることができる。又、認証用のECU3が認証制御部3eと認証維持部3hとを有することで、車両状態に対する認証をアクセス対象のECU4で行い、認証状態の設定及び認証状態の維持を認証用のECU3で行うようにしても良い。即ち、この場合も、車両状態に対する認証、認証状態の設定及び認証状態の維持を複数のECUで分散して行っても良い。
(その他の実施形態)
本発明は、上記した実施形態にのみ限定されるものではなく、以下のように変形又は拡張することができる。
外部ツール5に対して行った認証結果が正であり且つ車両状態に対して行った認証結果が正であることを条件として、認証状態を設定するようにしても良い。
認証の対象とする車両状態は、イモビライザの状態(施錠状態又は解除状態)、イグニッションスイッチの状態(オン状態又はオフ状態)、ドアの状態(開状態又は閉状態)等に限らず、正規の作業者が正規な外部ツールを接続したか悪意を持った第三者が不正な外部ツールを接続したかを判定し得る状態であれば、他の状態を採用しても良い。又、これらを単独で判定しても良いし、複数を組み合わせて判定しても良い。
車両用ゲートウェイ装置2のフィルタリング部2g、認証用のECU3のフィルタリング部3g、アクセス対象のECU4のフィルタリング部4hが省略される構成でも良い。
本発明は、上記した実施形態にのみ限定されるものではなく、以下のように変形又は拡張することができる。
外部ツール5に対して行った認証結果が正であり且つ車両状態に対して行った認証結果が正であることを条件として、認証状態を設定するようにしても良い。
認証の対象とする車両状態は、イモビライザの状態(施錠状態又は解除状態)、イグニッションスイッチの状態(オン状態又はオフ状態)、ドアの状態(開状態又は閉状態)等に限らず、正規の作業者が正規な外部ツールを接続したか悪意を持った第三者が不正な外部ツールを接続したかを判定し得る状態であれば、他の状態を採用しても良い。又、これらを単独で判定しても良いし、複数を組み合わせて判定しても良い。
車両用ゲートウェイ装置2のフィルタリング部2g、認証用のECU3のフィルタリング部3g、アクセス対象のECU4のフィルタリング部4hが省略される構成でも良い。
図面中、1は車両用データ通信認証システム、2は車両用ゲートウェイ装置、2dは認証部(第1の認証手段、第2の認証手段)、2eは認証制御部(第1の認証制御手段、第2の認証制御手段)、2fは通信制御部(第1の通信制御手段、第2の通信制御手段)、
2hは認証維持部(第1の認証維持手段、第2の認証維持手段)、3、4はECU、5は外部ツール、6はバスである。
2hは認証維持部(第1の認証維持手段、第2の認証維持手段)、3、4はECU、5は外部ツール、6はバスである。
Claims (22)
- ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにおいて、
前記バスに接続されている外部ツールに対して認証を行う第1の認証手段(2d)と、
前記第1の認証手段が前記外部ツールに対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第1の認証制御手段(2e)と、
前記第1の認証制御手段が認証状態を設定した後に、前記アクセス対象のECUから認証状態維持要求信号が前記第1の認証制御手段に入力されている期間において認証状態を維持する第1の認証維持手段(2h)と、を備えたことを特徴とする車両用データ通信認証システム。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにおいて、
前記バスに接続されている外部ツールに対して認証を行う第1の認証手段(2d)と、
前記第1の認証手段が前記外部ツールに対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第1の認証制御手段(2e)と、
前記第1の認証制御手段が認証状態を設定した後に、車両状態が所定条件を満たしていることとしてイモビライザが解除状態である期間において認証状態を維持する第1の認証維持手段(2h)と、を備えたことを特徴とする車両用データ通信認証システム。 - 請求項1又は2に記載した車両用データ通信認証システムにおいて、
前記外部ツールと前記ECUとを切分けるように車両用ゲートウェイ装置(2)が設けられ、
前記第1の認証手段、前記第1の認証制御手段及び前記第1の認証維持手段が前記車両用ゲートウェイ装置に設けられていることを特徴とする車両用データ通信認証システム。 - 請求項1又は2に記載した車両用データ通信認証システムにおいて、
前記外部ツールと前記ECUとを切分けるように車両用ゲートウェイ装置が設けられると共に、前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第1の認証手段が前記認証用のECUに設けられ、
前記第1の認証制御手段及び前記第1の認証維持手段が前記車両用ゲートウェイ装置に設けられていることを特徴とする車両用データ通信認証システム。 - 請求項1又は2に記載した車両用データ通信認証システムにおいて、
前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第1の認証手段が前記認証用のECUに設けられ、
前記第1の認証制御手段及び前記第1の認証維持手段が前記アクセス対象のECUと前記認証用のECUとを含む各ECUに設けられていることを特徴とする車両用データ通信認証システム。 - 請求項1又は2に記載した車両用データ通信認証システムにおいて、
前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第1の認証手段、前記第1の認証制御手段及び前記第1の認証維持手段が前記アクセス対象のECUと前記認証用のECUとを含む各ECUに設けられていることを特徴とする車両用データ通信認証システム。 - 請求項1又は2に記載した車両用データ通信認証システムにおいて、
前記外部ツールと通信可能にセンターが設けられると共に、前記外部ツールと前記ECUとを切分けるように車両用ゲートウェイ装置が設けられ、
前記第1の認証手段が前記センターに設けられ、
前記第1の認証制御手段及び前記第1の認証維持手段が前記車両用ゲートウェイ装置に設けられていることを特徴とする車両用データ通信認証システム。 - 請求項1又は2に記載した車両用データ通信認証システムにおいて、
前記外部ツールと通信可能にセンターが設けられると共に、前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第1の認証手段が前記センターに設けられ、
前記第1の認証制御手段及び前記第1の認証維持手段が前記認証用のECUに設けられていることを特徴とする車両用データ通信認証システム。 - 請求項1から8の何れか一項に記載した車両用データ通信認証システムにおいて、
前記第1の認証制御手段が認証状態を設定していない状態において、特定のデータに限り前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可する第1の通信制御手段(2f)を備えたことを特徴とする車両用データ通信認証システム。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにおいて、
車両状態に対して認証を行う第2の認証手段(2d)と、
前記第2の認証手段が車両状態に対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第2の認証制御手段(2e)と、
前記第2の認証制御手段が認証状態を設定した後に、前記アクセス対象のECUから認証状態維持要求信号が前記第1の認証制御手段に入力されている期間において認証状態を維持する第2の認証維持手段(2h)と、を備えたことを特徴とする車両用データ通信認証システム。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにおいて、
車両状態に対して認証を行う第2の認証手段(2d)と、
前記第2の認証手段が車両状態に対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第2の認証制御手段(2e)と、
前記第2の認証制御手段が認証状態を設定した後に、車両状態が所定条件を満たしていることとしてイモビライザが解除状態である期間において認証状態を維持する第2の認証維持手段(2h)と、を備えたことを特徴とする車両用データ通信認証システム。 - 請求項10又は11に記載した車両用データ通信認証システムにおいて、
前記外部ツールと前記ECUとを切分けるように車両用ゲートウェイ装置(2)が設けられ、
前記第2の認証手段、前記第2の認証制御手段及び前記第2の認証維持手段が前記車両用ゲートウェイ装置に設けられていることを特徴とする車両用データ通信認証システム。 - 請求項10又は11に記載した車両用データ通信認証システムにおいて、
前記外部ツールと前記ECUとを切分けるように車両用ゲートウェイ装置が設けられると共に、前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第2の認証手段が前記認証用のECUに設けられ、
前記第2の認証制御手段及び前記第2の認証維持手段が前記車両用ゲートウェイ装置に設けられていることを特徴とする車両用データ通信認証システム。 - 請求項10又は11に記載した車両用データ通信認証システムにおいて、
前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第2の認証手段が前記認証用のECUに設けられ、
前記第2の認証制御手段及び前記第2の認証維持手段が前記アクセス対象のECUと前記認証用のECUとを含む各ECUに設けられていることを特徴とする車両用データ通信認証システム。 - 請求項10又は11に記載した車両用データ通信認証システムにおいて、
前記アクセス対象のECUとは別に認証用のECUが設けられ、
前記第2の認証手段、前記第2の認証制御手段及び前記第2の認証維持手段が前記アクセス対象のECUと前記認証用のECUとを含む各ECUに設けられていることを特徴とする車両用データ通信認証システム。 - 請求項10から15の何れか一項に記載した車両用データ通信認証システムにおいて、
前記第2の認証制御手段が認証状態を設定していない状態において、特定のデータに限り前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可する第2の通信制御手段(2f)を備えたことを特徴とする車両用データ通信認証システム。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにて前記外部ツールと前記ECUとを切分けるように接続される車両用ゲートウェイ装置において、
前記バスに接続されている外部ツールに対して認証を行う第1の認証手段(2d)と、
前記第1の認証手段が前記外部ツールに対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第1の認証制御手段(2e)と、
前記第1の認証制御手段が認証状態を設定した後に、前記アクセス対象のECUから認証状態維持要求信号が前記第1の認証制御手段に入力されている期間において認証状態を維持する第1の認証維持手段(2h)と、を備えたことを特徴とする車両用ゲートウェイ装置。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにて前記外部ツールと前記ECUとを切分けるように接続される車両用ゲートウェイ装置において、
前記バスに接続されている外部ツールに対して認証を行う第1の認証手段(2d)と、
前記第1の認証手段が前記外部ツールに対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第1の認証制御手段(2e)と、
前記第1の認証制御手段が認証状態を設定した後に、車両状態が所定条件を満たしていることとしてイモビライザが解除状態である期間において認証状態を維持する第1の認証維持手段(2h)と、を備えたことを特徴とする車両用ゲートウェイ装置。 - 請求項17又は18に記載した車両用ゲートウェイ装置において、
前記第1の認証制御手段が認証状態を設定していない状態において、特定のデータに限り前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可する第1の通信制御手段(2f)を備えたことを特徴とする車両用ゲートウェイ装置。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにて前記外部ツールと前記ECUとを切分けるように接続される車両用ゲートウェイ装置において、
車両状態に対して認証を行う第2の認証手段(2d)と、
前記第2の認証手段が車両状態に対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第2の認証制御手段(2e)と、
前記第2の認証制御手段が認証状態を設定した後に、前記アクセス対象のECUから認証状態維持要求信号が前記第1の認証制御手段に入力されている期間において認証状態を維持する第2の認証維持手段(2h)と、を備えたことを特徴とする車両用ゲートウェイ装置。 - ECU(3,4)が接続されているバス(6)に外部ツール(5)を接続可能な車両用データ通信認証システムにて前記外部ツールと前記ECUとを切分けるように接続される車両用ゲートウェイ装置において、
車両状態に対して認証を行う第2の認証手段(2d)と、
前記第2の認証手段が車両状態に対して行った認証結果の正否を判定し、その認証結果が正であると判定すると、認証状態を設定し、前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可し、その認証結果が否であると判定すると、認証状態を設定することなく、前記外部ツールと前記アクセス対象のECUとの間でのデータ通信を拒否する第2の認証制御手段(2e)と、
前記第2の認証制御手段が認証状態を設定した後に、車両状態が所定条件を満たしていることとしてイモビライザが解除状態である期間において認証状態を維持する第2の認証維持手段(2h)と、を備えたことを特徴とする車両用ゲートウェイ装置。 - 請求項20又は21に記載した車両用ゲートウェイ装置において、
前記第2の認証制御手段が認証状態を設定していない状態において、特定のデータに限り前記外部ツールとアクセス対象のECUとの間でのデータ通信を許可する第2の通信制御手段(2f)を備えたことを特徴とする車両用ゲートウェイ装置。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012033945A JP5900007B2 (ja) | 2012-02-20 | 2012-02-20 | 車両用データ通信認証システム及び車両用ゲートウェイ装置 |
| DE102013101508A DE102013101508A1 (de) | 2012-02-20 | 2013-02-15 | Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug |
| US13/771,696 US20130219170A1 (en) | 2012-02-20 | 2013-02-20 | Data communication authentication system for vehicle gateway apparatus for vehicle data communication system for vehicle and data communication apparatus for vehicle |
| US14/318,723 US9489544B2 (en) | 2012-02-20 | 2014-06-30 | Data communication authentication system for vehicle gateway apparatus for vehicle data communication system for vehicle and data communication apparatus for vehicle |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012033945A JP5900007B2 (ja) | 2012-02-20 | 2012-02-20 | 車両用データ通信認証システム及び車両用ゲートウェイ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013171378A JP2013171378A (ja) | 2013-09-02 |
| JP5900007B2 true JP5900007B2 (ja) | 2016-04-06 |
Family
ID=49265275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012033945A Active JP5900007B2 (ja) | 2012-02-20 | 2012-02-20 | 車両用データ通信認証システム及び車両用ゲートウェイ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5900007B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11709666B2 (en) | 2018-07-25 | 2023-07-25 | Denso Corporation | Electronic control system for vehicle, program update approval determination method and program update approval determination program |
| US11822366B2 (en) | 2018-08-10 | 2023-11-21 | Denso Corporation | Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data |
| US11876898B2 (en) | 2018-08-10 | 2024-01-16 | Denso Corporation | Vehicle master device, security access key management method, security access key management program and data structure of specification data |
| US11907697B2 (en) | 2018-08-10 | 2024-02-20 | Denso Corporation | Vehicle electronic control system, center device, vehicle master device, display control information transmission control method, display control information reception control method, display control information transmission control program, and display control information reception control program |
| US11934823B2 (en) | 2018-07-25 | 2024-03-19 | Denso Corporation | Electronic control system for vehicle, program update approval determination method and program update approval determination program |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6028717B2 (ja) * | 2013-11-06 | 2016-11-16 | トヨタ自動車株式会社 | 通信システムおよびゲートウェイ装置並びに通信方法 |
| JP6390398B2 (ja) * | 2014-12-11 | 2018-09-19 | 株式会社デンソー | 車載ネットワークシステム |
| JP6418217B2 (ja) * | 2015-12-18 | 2018-11-07 | トヨタ自動車株式会社 | 通信システムで実行される情報集約方法 |
| JP2017130845A (ja) * | 2016-01-21 | 2017-07-27 | 株式会社オートネットワーク技術研究所 | 認証システム、認証要求装置、車載電子機器、コンピュータプログラム及び認証処理方法 |
| JP6394650B2 (ja) * | 2016-07-08 | 2018-09-26 | マツダ株式会社 | 認証システム、故障診断ツール、車載通信システム及び認証方法 |
| WO2018051654A1 (ja) * | 2016-09-16 | 2018-03-22 | 日立オートモティブシステムズ株式会社 | 車載電子制御装置 |
| JP2019071572A (ja) * | 2017-10-10 | 2019-05-09 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 制御装置及び制御方法 |
| JP6860464B2 (ja) * | 2017-10-12 | 2021-04-14 | Kddi株式会社 | システム及び管理方法 |
| JP6950605B2 (ja) * | 2018-03-27 | 2021-10-13 | トヨタ自動車株式会社 | 車両用通信システム |
| JP6973262B2 (ja) * | 2018-04-18 | 2021-11-24 | トヨタ自動車株式会社 | 車両向けサービス提供システム、車載装置およびコマンド送信方法 |
| JP7081415B2 (ja) * | 2018-09-14 | 2022-06-07 | トヨタ自動車株式会社 | 通信装置、通信方法、および通信プログラム |
| JP7226177B2 (ja) * | 2019-08-02 | 2023-02-21 | 株式会社オートネットワーク技術研究所 | 車載中継装置、車載通信システム、通信プログラム及び通信方法 |
| CN111651748B (zh) * | 2020-05-29 | 2023-03-14 | 重庆长安汽车股份有限公司 | 一种车内ecu的安全访问处理系统及其方法 |
| KR102447980B1 (ko) * | 2021-03-02 | 2022-09-27 | 국방과학연구소 | 이중 네트워크 구조를 갖는 차량 및 그의 운용 방법 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4942261B2 (ja) * | 2001-07-31 | 2012-05-30 | 株式会社デンソー | 車両用中継装置、及び、車内通信システム |
| JP2003324459A (ja) * | 2002-04-26 | 2003-11-14 | Sumitomo Electric Ind Ltd | 通信システム |
| JP4469892B2 (ja) * | 2004-04-29 | 2010-06-02 | バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト | 車両内の制御機器の認証 |
| JP4541118B2 (ja) * | 2004-12-08 | 2010-09-08 | 株式会社日本自動車部品総合研究所 | 車両情報収集システム、端末、および車両側装置 |
| WO2009147734A1 (ja) * | 2008-06-04 | 2009-12-10 | 株式会社ルネサステクノロジ | 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法 |
| JP2010062883A (ja) * | 2008-09-04 | 2010-03-18 | Hitachi Automotive Systems Ltd | 車両動作検証システム及び車載ゲートウェイ装置 |
-
2012
- 2012-02-20 JP JP2012033945A patent/JP5900007B2/ja active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11709666B2 (en) | 2018-07-25 | 2023-07-25 | Denso Corporation | Electronic control system for vehicle, program update approval determination method and program update approval determination program |
| US11934823B2 (en) | 2018-07-25 | 2024-03-19 | Denso Corporation | Electronic control system for vehicle, program update approval determination method and program update approval determination program |
| US11822366B2 (en) | 2018-08-10 | 2023-11-21 | Denso Corporation | Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data |
| US11876898B2 (en) | 2018-08-10 | 2024-01-16 | Denso Corporation | Vehicle master device, security access key management method, security access key management program and data structure of specification data |
| US11907697B2 (en) | 2018-08-10 | 2024-02-20 | Denso Corporation | Vehicle electronic control system, center device, vehicle master device, display control information transmission control method, display control information reception control method, display control information transmission control program, and display control information reception control program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013171378A (ja) | 2013-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5900007B2 (ja) | 車両用データ通信認証システム及び車両用ゲートウェイ装置 | |
| EP3490219B1 (en) | Security processing method for car sharing service | |
| JP5783103B2 (ja) | 車両用データ通信システム及び車両用データ通信装置 | |
| CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
| CN107919955B (zh) | 一种车辆网络安全认证方法、系统、车辆、装置及介质 | |
| CN103685214B (zh) | 用于汽车电子控制单元的安全访问方法 | |
| JP5435022B2 (ja) | 車載システム及び通信方法 | |
| JP6573819B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| US9489544B2 (en) | Data communication authentication system for vehicle gateway apparatus for vehicle data communication system for vehicle and data communication apparatus for vehicle | |
| EP3348036B1 (en) | Unauthorized access event notificaiton for vehicle electronic control units | |
| EP1551669B1 (en) | Method and system for maintaining a configuration history of a vehicle | |
| KR20200135775A (ko) | 차량 내 전자 제어 유닛들 간의 보안 통신 | |
| JP6731887B2 (ja) | 保守システム及び保守方法 | |
| JP7157107B2 (ja) | 一方向のキーフォブ及び車両ペアリング認証、保持、及び無効化 | |
| WO2015080108A1 (ja) | プログラム更新システム及びプログラム更新方法 | |
| CN110708388B (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
| CN107483393B (zh) | 车联网的通信方法、服务器及通信系统 | |
| CN108173856A (zh) | 车辆通信数据安全检测方法、装置及车载终端 | |
| JP7008661B2 (ja) | 認証システム | |
| JP7412506B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| EP1525708A1 (en) | Method and system for vehicle component authentication | |
| KR20150089697A (ko) | 모바일 단말을 이용한 스마트 카 보안 시스템 및 그 방법 | |
| KR102576894B1 (ko) | 암호화 키들의 차량 내부 관리를 위한 방법 | |
| JP2020088836A (ja) | 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 | |
| CN109802929A (zh) | 基于双系统的客户端程序升级方法及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140930 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150527 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150623 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150805 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160209 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160222 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5900007 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |