JP5978944B2 - 車載機及びセキュリティシステム - Google Patents

車載機及びセキュリティシステム Download PDF

Info

Publication number
JP5978944B2
JP5978944B2 JP2012254002A JP2012254002A JP5978944B2 JP 5978944 B2 JP5978944 B2 JP 5978944B2 JP 2012254002 A JP2012254002 A JP 2012254002A JP 2012254002 A JP2012254002 A JP 2012254002A JP 5978944 B2 JP5978944 B2 JP 5978944B2
Authority
JP
Japan
Prior art keywords
data
unit
application
transmission
target data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012254002A
Other languages
English (en)
Other versions
JP2014101008A (ja
Inventor
太田 克己
克己 太田
ステファン ブエ
ステファン ブエ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nissan Motor Co Ltd
Original Assignee
Nissan Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nissan Motor Co Ltd filed Critical Nissan Motor Co Ltd
Priority to JP2012254002A priority Critical patent/JP5978944B2/ja
Publication of JP2014101008A publication Critical patent/JP2014101008A/ja
Application granted granted Critical
Publication of JP5978944B2 publication Critical patent/JP5978944B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Burglar Alarm Systems (AREA)
  • Lock And Its Accessories (AREA)

Description

本発明は、車載機及びセキュリティシステムに関する。
従来のセキュリティの考え方は悪意を持った不正プログラムがシステム内に侵入しないようにするいわゆる未然防止が主である。このため、何らかの理由でチェックを通過してしまった不正プログラムは、有効に除去できないという問題がある。上記の問題に関し、一旦侵入した不正プログラムを検出及び駆除する方法が提案されている(例えば、特許文献1参照。)
特許文献1では、ネットワーク上の各コンピュータがログを記録し、各コンピュータはログをネットワーク上の他のコンピュータに通知することで、ログを受信した他のコンピュータ各々が不正行為の有無を検査する。検査の結果、各コンピュータのうちの特定のコンピュータで不正行為があったと判断した場合、そのコンピュータにおいて不正行為のあった旨を表すメッセージを他のコンピュータに送信する。そのメッセージを受信した各コンピュータも個々に不正の有無を検査する。所定の期間内に所定のしきい値を超える台数のコンピュータが該当コンピュータに対して不正行為ありと判断した場合、以後、ネットワーク上の全コンピュータが不正行為ありと判断されたコンピュータとの通信を絶つ。これにより、不正プログラムによる被害を最小限にとどめる。
特開平09−128336号公報
しかしながら、特許文献1に記載の不正プログラムを検出及び駆除する方法は、ログデータの解析が必須であることから、不正と判定できるログを取得し、解析が終了するまで不正プログラムからの悪影響を受けることになる。
上記問題点を鑑み、本発明の目的は、不正なアプリケーションやプログラムによるユーザーが意図しない動作を未然に防止することができる車載機及びセキュリティシステムを提供することである。
本発明の一態様によれば、車載機及びセキュリティシステムにおいて、人間の操作に関連するデータの送信前に、過去の送信データと判定ルールを用いて送信しようとするデータが不正か否かを判定する。
本発明によれば、不正なアプリケーションやプログラムによるユーザーが意図しない動作を未然に防止することができる車載機及びセキュリティシステムを提供することができる。
本発明の第1の実施の形態に係るセキュリティシステムの一例を示す概略図である。 本発明の第1の実施の形態に係るセキュリティシステムの一例を示すブロック図である。 本発明の第1の実施の形態に係るアプリケーション部の構成を示す概略図である。 本発明の第1の実施の形態に係るアプリケーション管理部の構成を示す概略図である。 本発明の第1の実施の形態に係る判定ルールの一例を示す概略図である。 本発明の第1の実施の形態に係る過去データ記憶部の一例を示す概略図である。 本発明の第1の実施の形態に係る車載機のデータ送信時のフローチャートである。 本発明の第1の実施の形態に係る車載機のデータ送信時におけるエラー時の処理のフローチャートである。 本発明の第2の実施の形態に係るセキュリティシステムの一例を示す概略図である。 本発明の第2の実施の形態に係るセキュリティシステムの一例を示すブロック図である。 本発明の第2の実施の形態に係る車載機のデータ送信時におけるエラー時の処理のフローチャートである。 本発明の第2の実施の形態に係るデータセンターが不正アプリに関する情報を受信した際のフローチャートである。 本発明の第2の実施の形態に係る他車両に搭載された車載機がデータセンターから不正アプリに関する情報を受信した際のフローチャートである。 本発明の第3の実施の形態に係るセキュリティシステムの一例を示すブロック図である。 本発明の第3の実施の形態に係る過去データ記憶部の一例を示す概略図である。 本発明の第3の実施の形態に係る送信データ判定部の動作のフローチャートである。
次に、図面を参照して、本発明の第1〜第3の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであり、厚みと平面寸法との関係、各層の厚みの比率等は現実のものとは異なることに留意すべきである。したがって、具体的な厚みや寸法は以下の説明を参酌して判定すべきものである。又、図面相互間においても互いの寸法の関係や比率が異なる部分が含まれていることはもちろんである。
また、以下に示す第1〜第3の実施の形態は、この発明の技術的思想を具体化するための装置や方法を例示するものであって、この発明の技術的思想は、構成部品の材質、形状、構造、配置等を下記のものに特定するものでない。この発明の技術的思想は、特許請求の範囲において、種々の変更を加えることができる。
(第1の実施の形態)
<セキュリティシステムの構成>
本発明の第1の実施の形態に係るセキュリティシステムとして、図1に示すように、車両1に搭載された車載機が、データセンター2からアプリケーションをダウンロードする場合を説明する。
本発明の第1の実施の形態に係るセキュリティシステムは、図2に示すように、データセンター2と、車両1に搭載された車載機(車載ITユニット)10を備える。
データセンター2は、車載機10がダウンロード可能な複数のアプリケーションを保持するアプリケーション保持部21と、各アプリケーションを管理するとともに、各アプリケーションに関する情報を保持するアプリケーション管理部22と、車載機10と通信を行い、車載機10の要求に応じてアプリケーションをダウンロードさせる通信部23を備える。
車載機10は、車載機10の通信相手となるオーディオ制御ユニット30やエアコン制御ユニット40等の被制御ユニットに車載LAN等を介して接続されている。なお、オーディオ制御ユニット30やエアコン制御ユニット40は被制御ユニットの一例であって、これらに限定されるものではない。
車載機10は、アプリケーションをダウンロードする等、データセンター2と通信を行う通信部14と、データセンター2から通信部14を介してダウンロードしたアプリケーションを保持するとともに、保持しているアプリケーションを実行するアプリケーション部11と、実行されたアプリケーションがオーディオ制御ユニット30やエアコン制御ユニット40に対してデータ送信を行う際に、送信しようとするデータ(以下、「送信対象データ」ともいう。)が不正か否かを判定する送信データ判定部12と、実行されたアプリケーションからオーディオ制御ユニット30やエアコン制御ユニット40に対してデータ送信を行うデータ送信部13を備える。
アプリケーション部11は、図3に示すように、データセンター2からダウンロードした1つ又は複数のアプリケーションで構成されるアプリケーション群111と、アプリケーションについての情報を管理するアプリケーション管理部112を備える。なお、アプリケーション群111を構成するアプリケーションは、データセンター2からダウンロードしたものに限定されず、車載機10に予め保持されていても良い。このアプリケーション群111に、ユーザーが意図しない動作を不正に行うアプリケーション(以下、「不正アプリ」ともいう。)が混入する可能性がある。
アプリケーション管理部112は、図4に示すように、アプリケーション群111を構成するアプリケーション毎に、アプリケーションID(AID)、アプリケーション名、ダウンロード日時、アプリケーションの作成者等の、アプリケーションに関する情報を管理する。
図2に示した送信データ判定部12は、送信データ一時記憶部121、操作判定部122、過去データ記憶部123、判定ルール記憶部124、不正判定部125及びエラー処理実行部126を備える。
送信データ一時記憶部121は、アプリケーション部11により実行されたアプリケーションがオーディオ制御ユニット30やエアコン制御ユニット40等にデータ送信を行う際に、アプリケーション部11からの送信対象データを一時的に記憶する。
操作判定部122は、送信対象データが人の操作に関連するデータか否かを判定する。人の操作に関連するデータか否かは、例えば、アプリケーション部11から取得されるアプリケーションID(AID)や、送信対象データそのもの(例えば、送信対象データ中に存在する制御コマンド)に基づいて判定することができる。
判定ルール記憶部124は、不正判定部125による送信対象データの不正判定の際に使用する判定ルールを記憶する。判定ルールは、個々の人の操作に関連する信号について、そのルールを定めたものであり、例えば操作ボタンのタイプ毎に設定することが考えられる。
例えば、図5に示すように、ボタンタイプを「長押し」、「2択操作」及び「数値入力」の3つに分類し、それぞれのボタンタイプについて統一した判定ルールとする。「長押し」に対応する制御対象は、オーディオの表示切替等がある。「2択操作」に対応する制御対象は、オーディオの音量制御やエアコンの風速制御(UP/DOWN)、エアコンのA/C設定(ON/OFF)、オーディオのトラック制御(NEXT/PREVIOUS)等がある。「数値入力」に対応する制御対象は、エアコンの温度制御等がある。
図5に示したボタンタイプが「長押し」及び「2択操作」の判定ルール「Δt>**ms」は、過去の送信データの送信時刻と現在時刻(又はアプリケーションが送信対象データを送信しようとした時刻)との差分(時間間隔)Δtが、閾値**ms(例えば10ms)より大きければ不正ではないと判定し、時間間隔Δtが閾値**ms(例えば10ms)以下であれば不正と判定するものである。時間間隔Δtの閾値は、人が通常操作し得ないであろう時間間隔であって、不正アプリによる可能性が高い値に適宜設定される。
また、ボタンタイプが「数値入力」の判定ルール「Δt>**msかつΔd<♯♯」は、過去の送信データの送信時刻と現在時刻との時間間隔Δtが閾値**ms(例えば10ms)より大きく、且つ過去の送信データに対する送信対象データのエアコン設定温度等の増減値Δdが閾値♯♯(例えば20℃)未満であれば不正ではないと判定するものである。一方、時間間隔Δtが閾値**ms(例えば10ms)以下であるか、又は増減値Δdが閾値♯♯(例えば20℃)以上であれば不正と判定する。増減値Δdは、人が通常入力しない値であって、不正アプリによる可能性が高い値に適宜設定される。なお、ボタンタイプが「数値入力」の判定ルールはこれに限定されるものではなく、例えば「Δt>**ms」及び「Δd<♯♯」のいずれか一方のみであっても良い。
なお、図5に示すように各ボタンタイプについて統一した判定ルールとする代わりに、各制御対象(例えばオーディオの音量制御、オーディオのトラック制御、エアコンの風速制御等)毎に個々に判定ルールを設定しても良い。
図2に示した過去データ記憶部123は、車載機10が過去に送信した人の操作に関連するデータを記憶する。過去の送信データは、一定の容量を持つメモリ等に記憶され、メモリ容量を超えるような場合には、古いデータから削除される。
過去データ記憶部123に記憶されている過去の送信データは、例えば図6に示すように、送信先ユニット(被制御ユニット)ごとに分類されている。過去の送信データは、制御対象、ボタンタイプ、送信元のアプリケーションID(AID)、送信データ、送信日時(送信時刻)等を含む。なお、図6では、過去の送信データを各制御対象について最新の1つのみ保持する形式になっているが、複数保持する形式でも良い。
図2に示した不正判定部125は、判定ルール記憶部124から取得した判定ルールと、過去データ記憶部123から取得した過去の送信データを用いて、送信対象データが不正か否かを判定する。
例えば、不正判定部125は、過去データ記憶部123に記憶されている過去の送信データのうち、送信対象データのボタンタイプ及び制御対象が一致する過去の送信データを取得する。
更に、不正判定部125は、判定ルール記憶部124から、送信対象データのボタンタイプ及び制御対象と一致する判定ルールを取得する。ここで、図5に示すように判定ルールがボタンタイプ毎に統一されている場合には、送信対象データのボタンタイプと一致する判定ルールを取得すれば良い。
更に、不正判定部125は、判定ルールが図5に示したボタンタイプが「長押し」に対応する「Δt>**ms」の場合、過去データ記憶部123から取得した過去の送信データの送信時刻と現在時刻との差分(時間間隔)Δtを算出する。そして、算出した時間間隔Δtが判定ルールで規定された閾値**ms(例えば10ms)以下であれば、送信対象データを不正と判定する。
また、不正判定部125は、判定ルールが図5に示したボタンタイプが「数値入力」に対応する「Δt>**msかつΔd<♯♯」の場合、差分(時間間隔)Δtでの判定に加え、更に、過去データ記憶部123から取得した過去の送信データと送信対象データの入力値との差分Δdを算出する。そして、算出した差分Δdが判定ルールで規定された閾値♯♯(例えば20℃)以上であれば、送信対象データを不正と判定する。
エラー処理実行部126は、不正判定部125により送信対象データが不正と判定された場合にエラー処理を実行する。エラー処理実行部126は、例えばデータ送信部13による送信対象データの送信を中止させる。更に、エラー処理実行部126は、アプリケーションIDから送信対象データを送信したアプリケーションを不正アプリとして特定し、アプリケーション部11で保持している該当するアプリケーションを削除する。更に、エラー処理実行部126は、アプリケーション管理部112が持つ作成者情報から、不正アプリの作成者と同一作成者が作成したアプリケーションが他にも存在するか検索し、存在した場合にはそのアプリケーションも不正アプリと特定し、合わせて削除する。
データ送信部13は、操作判定部122により送信対象データが人の操作に関連するデータではないと判定された場合や、送信データ判定部12により送信対象データが不正ではないと判定された場合に、送信データ一時記憶部121に記憶されている送信対象データをオーディオ制御ユニット30やエアコン制御ユニット40へ送信する。
オーディオ制御ユニット30及びエアコン制御ユニット40は、データ送信部13により送信されたデータに応じて、車両1に搭載されているオーディオ及びエアコンをそれぞれ制御する。
<車載機の動作>
次に、本発明の第1の実施の形態に係る車載機10のデータ送信時の動作を、図7のフローチャートを参照しながら説明する。
(イ)ステップS11において、アプリケーション部11がアプリケーションを実行する。実行したアプリケーションがオーディオ制御ユニット30やエアコン制御ユニット40等にデータ送信を行う場合、送信しようとするデータ(送信対象データ)が送信データ一時記憶部121に一時記憶される。そして、操作判定部122が、送信対象データが人の操作に関連するデータか否かを判定する。
(ロ)ステップS11で人の操作に関連するデータではないと判定された場合、ステップS16に進み、データ送信部13が、送信データ一時記憶部121に記憶されていた送信対象データをオーディオ制御ユニット30やエアコン制御ユニット40等に送信する。送信終了とともに、送信データ一時記憶部121に記憶されていた送信対象データは削除され、処理を完了する。
(ハ)一方、ステップS11で送信対象データが人の操作に関連するデータと判定された場合、ステップS12に進み、不正判定部125が、送信対象データに対応する判定ルールを判定ルール記憶部124から取得する。更に、ステップS13において、不正判定部125が、送信対象データに対応する過去の送信データを過去データ記憶部123から取得する。そして、ステップS14において、不正判定部125が、判定ルール及び過去の送信データを用いて、送信対象データが不正か否かを判定する。
(ニ)ステップS14で送信対象データが不正でない判定された場合、ステップS15に進み、送信対象データを過去の送信データとして過去データ記憶部123に記憶し、合わせてステップS16においてデータ送信部13により送信する。送信終了後に、送信データ一時記憶部121に記憶されていた送信対象データは削除される。
(ホ)一方、ステップS14で送信対象データが不正と判定された場合、ステップS17に進み、エラー処理実行部126によりエラー処理が行われる。
<エラー処理方法>
次に、図7のステップS17のエラー処理の詳細を、図8のフローチャートを参照しながら説明する。
(イ)図7のステップS14で送信対象データが不正と判定された場合、図8のステップS21においてエラー処理実行部126がデータ送信部13によるデータ送信を中止させる。
(ロ)ステップS22において、エラー処理実行部126が、送信対象データのアプリケーションIDから送信対象データを送信したアプリケーションを不正アプリとして特定し、アプリケーション部11にある該当するアプリケーションを削除する。
(ハ)更に、ステップS23において、エラー処理実行部126が、アプリケーション管理部112が持つ作成者情報から、不正アプリの作成者と同一作成者が作成したアプリケーションが他にも存在するか検索する。他にも存在する場合、ステップS24において進み、同一作成者が作成したアプリケーションも不正アプリとして特定し、アプリケーション部11にある該当するアプリケーションを削除する。
本発明の第1の実施の形態によれば、人間の操作に関連する送信対象データの送信前に、過去の送信データと判定ルールを用いて送信対象データが不正か否かを判定することにより、不正アプリによるユーザーが意図しない動作を未然に防止することができる。
更に、送信対象データに対応する過去の送信データの送信時刻と現在時刻との差分が、判定ルールで規定された閾値以下の場合に送信対象データが不正と判定することにより、不正アプリによる不正データをデータ送信前に検出することができる。
更に、送信対象データが不正と判定された場合、送信対象データの送信を中止し、送信対象データに対応する不正アプリをアプリケーション部11から削除することにより、被害の拡大を防止することができる。
更に、車載機10内から不正アプリの作成者と同一作成者が作成したアプリケーションを削除することにより、被害の拡大を防止することができる。
(第2の実施の形態)
<セキュリティシステムの構成>
本発明の第1の実施の形態では、不正アプリ検出後の対応として、不正アプリを検出した車載機で閉じる場合を説明したが、本発明の第2の実施の形態では、不正アプリ検出後の対応として、データセンター経由で全車載機に情報が伝わり、不正アプリを完全に排除する場合を一例として説明する。
本発明の第2の実施の形態では、図9に示すように、車両1に搭載された車載機で検出された不正アプリに関する情報を、データセンター2を介して他車両1a,1b,1cにも通知し、まだ被害の発生していない車両1a,1b,1cにおいても不正アプリを削除することで今後起こりうる被害を未然に防ぐものである。
本発明の第2の実施の形態に係るセキュリティシステムは、図10に示すように、車両1に搭載された車載機10と、データセンター2と、他車両1a,1b,1cにそれぞれ搭載された車載機(図示省略)を備える。本発明の第2の実施の形態では、車載機10の通信部14が、送信対象データが不正と判定された場合に、データセンター2に不正アプリのアプリケーションID(AID)等の不正アプリに関する情報を送信する点が、第1の実施の形態と異なる。
データセンター2にある通信部23は、不正アプリに関する情報を受信する。アプリケーション管理部22は、受信した不正アプリに関する情報に応じて、アプリケーション保持部21に保持されている該当するアプリケーションや、不正アプリの作成者と同一作成者が作成したアプリケーションを削除する。通信部23は、他車両1a,1b,1cへ不正アプリに関する情報を送信する。
各車両1a,1b,1cは、図10に示した車両1の車載機10と同様の車載機をそれぞれ備える。各車両1a,1b,1cに搭載されている車載機では、データセンター2から不正アプリに関する情報を受信して、該当するアプリケーションを削除する。なお、各車両1a,1b,1cは、データセンター2を介さずに、車両1から直接不正アプリに関する情報を受信しても良い。
他の構成は、本発明の第1の実施の形態の構成と実質的に同様であるので、重複した説明を省略する。
<車載機の動作>
本発明の第2の実施の形態に係る車載機10のデータ送信時におけるエラー時のフローチャートを図11に示す。ステップS31〜34の手順は、図8に示したステップS21〜24と実質的に同様であるので、重複した説明を省略する。ステップS34において送信対象データが不正と判定された場合にステップS35に進み、通信部14が、アプリケーションID等の不正アプリに関する情報を、データセンター2へ送信する。
<データセンターの動作>
次に、本発明の第2の実施の形態に係るデータセンター2が不正アプリに関する情報を受信した際の動作を、図12のフローチャートを参照しながら説明する。
(イ)ステップS41において、データセンター2のアプリケーション管理部22が通信部23経由でアプリケーションID等の不正アプリに関する情報を受信する。アプリケーション管理部22が、不正アプリに関する情報に応じて、アプリケーション保持部21により保持されている同一アプリケーションIDを持つアプリケーションを削除する。
(ロ)ステップS42において、図11のステップS33,S34と同様に、データセンター2においてもアプリケーション管理部22がアプリケーション保持部21内に不正アプリの作成者と同一作成者が作成したアプリケーションが存在するか検索する。存在すればステップS43に進み、不正アプリと特定してアプリケーション保持部21から削除する。
(ハ)その後、ステップS44において、アプリケーション管理部22は通信部23を介して、ステップS41で受信したアプリケーションID等の不正アプリに関する情報や、ステップS43で特定された不正アプリに関する情報を、他車両1a,1b,1cの車載機10に送信する。ここで、全ての他車両1a,1b,1cに不正アプリに関する情報を送信しても良く、アプリケーションのダウンロード履歴から、不正アプリをダウンロードした他車両を特定し、特定した他車両のみに不正アプリに関する情報を送信しても良い。
(ニ)ステップS45において、通信部23が、他車両1a,1b,1cの車載機10から削除結果を受信する。ステップS46において、不正アプリに関する情報は全車載機10からの削除結果が届くまで定期的に再送信される。
なお、図12のステップS44では、不正アプリに関する情報をデータセンター2からプッシュで送信したが、各車両1a,1b,1cの車載機10がダウンロードのため等でデータセンター2に接続した際に、不正アプリに関する情報を付加して送信するような形態であっても良い。
<他車両の動作>
次に、本発明の第2の実施の形態に係る他車両1a,1b,1cに搭載された車載機10がデータセンター2から不正アプリに関する情報を受信した際の動作を、図13のフローチャートを参照しながら説明する。
(イ)ステップS51において、車載機10のアプリケーション管理部112が、データセンター2から通信部14を介し不正アプリに関する情報を受信すると、アプリケーション群111に不正アプリと同じアプリケーションID(AID)のアプリケーションが存在するか検索する。
(ロ)不正アプリが存在すれば、ステップS52に進み、アプリケーション管理部112が、不正アプリをすべて削除する。ステップS53において、アプリケーション管理部112が、「AID:○○削除、AID:××該当無し」といったように削除結果をデータセンター2へ通知する。ここで、不正アプリの作成者と同一作成者が作成したアプリケーションを検索し、存在する場合は同一作成者が作成したアプリケーションも不正アプリとして削除しても良い。
(ハ)一方、ステップS51で不正アプリが存在しないと判定された場合でも、ステップS53において全てのアプリケーションIDについて該当無しを示す情報をデータセンター2に通知する。
本発明の第2の実施の形態によれば、人間の操作に関連する送信対象データの送信前に、過去の送信データと判定ルールを用いて送信対象データが不正か否かを判定することにより、不正アプリによるユーザーが意図しない動作を未然に防止することができる。
更に、送信対象データが不正と判定された場合、送信対象データの送信を中止し、送信対象データに対応する不正アプリをアプリケーション部11から削除することにより、被害の拡大を防止することができる。
更に、車両1の車載機10内から不正アプリの作成者と同一作成者が作成したアプリケーションを削除することにより、被害の拡大を防止することができる。
更に、車両1の車載機10からデータセンター2へ不正アプリに関する情報を送信し、データセンター2内の不正アプリを削除することで、他車両1a,1b,1cの車載機10が不正アプリを新たにダウンロードすることを防止することができ、被害の拡大を防止することができる。
更に、データセンター2から全ての車載機10に対して不正アプリに関する情報を伝え、全ての車載機10において不正アプリに該当するアプリケーションを削除することで、被害の拡大を防止することができる。
(第3の実施の形態)
<セキュリティシステムの構成>
本発明の第3の実施の形態に係るセキュリティシステムは、図14に示すように、車両1に搭載される車載機として、アプリケーションを保持・実行する車載ITユニットの代わりに、ユーザーの入力を受け付けて被制御ユニットを制御する車載コントロールユニット50を備える点が、第1の実施の形態と異なる。車載コントロールユニット50は、被制御ユニットである窓開閉制御ユニット60及び施錠/開錠制御ユニット70と接続されている。
本発明の第3の実施の形態は、車載コントロールユニット50の制御信号作成部51が不正に改ざん、又は不正プログラムが侵入し不正な制御信号を送ろうとした場合でも、不正な制御信号を排除し、ユーザーが意図しない動作を防ぐものである。
車載コントロールユニット50は、ユーザーの入力を受け付ける入力受付部54と、入力受付部54からの指示に基づいて制御信号(データ)を作成する制御信号作成部51と、制御信号作成部51により作成された制御信号が不正か否かを判定する送信データ判定部52、制御信号を窓開閉制御ユニット60や施錠/開錠制御ユニット70に対して送信するデータ送信部53を備える。
送信データ判定部52は、送信データ一時記憶部521、操作判定部522、過去データ記憶部523、判定ルール記憶部524、不正判定部525及びエラー処理実行部526を備える。
送信データ一時記憶部521は、制御信号作成部51により作成された制御信号又は不正に侵入したプログラムが送信しようとする制御信号を一時的に記憶する。操作判定部522は、送信しようとする制御信号が人の操作に関連するか否かを判定する。判定ルール記憶部524は、図5に示した判定ルールと同様の判定ルールを記憶する。過去データ記憶部523は、図15に示すように過去に送信された制御信号を記憶する。不正判定部525は、判定ルールと過去の送信データを用いて、送信しようとする制御信号が不正か否かを判定する。
エラー処理実行部526は、送信しようとする制御信号が不正と判定された場合、エラー処理を実行する。エラー処理としては、送信しようとする制御信号の送信を中止し、合わせてユーザーに不正なデータの送信依頼があったことを通知し、専門家(ディーラー)への入庫を案内することが考えられる。
<車載機の動作>
次に、本発明の第3の実施の形態に係る送信データ判定部52の動作を、図16のフローチャートを参照しながら説明する。
(イ)ステップS60において、制御信号作成部51又は不正に侵入したプログラムが制御信号を送信する際、送信しようとする制御信号が送信データ一時記憶部521に記憶される。
(ロ)ステップS61において、操作判定部522が、送信しようとする制御信号が人の操作に関連するか否かを判定する。送信対象データが人の操作に関連すると判定された場合、ステップS62に進む。
(ハ)ステップS62において、不正判定部525が、送信しようとする制御信号に対応する判定ルールを判定ルール記憶部524から取得する。ステップS63において、不正判定部525が、送信しようとする制御信号に対応する過去に送信された制御信号を過去データ記憶部523から取得する。ステップS64において、不正判定部525が、判定ルール記憶部524から取得した判定ルールと、過去データ記憶部523から取得した過去に送信された制御信号を用いて、送信しようとする制御信号が不正か否かを判定する。送信しようとする制御信号が不正でないと判定された場合、ステップS65に進む。
(ニ)ステップS65において、不正判定部525が、送信データ一時記憶部521に記憶していた制御信号を過去に送信された制御信号として過去データ記憶部523に記憶させる。ステップS66において、不正判定部525が、データ送信許可を行う。データ送信部53が、データ送信許可に応じて、該当する被制御ユニットに対し制御信号を送信する。
(ホ)一方、ステップS64で送信しようとする制御信号が不正と判定されると、ステップS67においてエラー処理実行部526によりエラー処理が行われる。
本発明の第3の実施の形態によれば、アプリケーションを実行する車載ITユニット10に限らず、人の操作(窓開閉、施錠/開錠、ライトON/OFF、クラクションON/OFF等)を受け付ける車載コントロールユニット50からのデータ送信においても、送信前に制御信号が不正か否か判定することにより、例え不正プログラムが侵入し不正な制御信号を送ろうとした場合でも不正な制御信号を排除し、ユーザーが意図しない動作を未然に防止することができる。
なお、車載機10の制御対象として窓開閉と施錠/開錠を例に説明したが、これに限定するものではなく、例えば、ライトON/OFFやクラクションON/OFF、ワイパー制御等人が操作するものうちの1つ又は幾つかの組み合わせであっても良い。
また、被制御ユニットとして、窓開閉制御ユニット60及び施錠/開錠制御ユニット70の2つを挙げたが、上記と同様にライト制御ユニットやクラクション制御ユニット、ワイパー制御ユニット等であっても良いし、各ユニットを単一の機能とはせずに、複数の制御機能をまとめた統合ユニットであっても良い。
(その他の実施の形態)
上記のように、本発明は第1〜第3の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。
例えば、図2に示した不正判定部125が判定ルールとして過去の送信データの送信時刻と現在時刻との差分を用いるのであれば、送信対象データのボタンタイプ及び制御対象に関わらず、過去データ記憶部123に記憶されている全ての過去の送信データのうち、最も直近に送信されたデータ(図6ではエアコンの温度制御のデータ)を取得しても良い。そして、不正判定部125が、直近の送信データと現在時刻との差分Δtを判定ルールで規定された閾値と比較しても良い。
この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
1,1a,1b,1c…車両
2…データセンター
10…車載機(車載ITユニット)
11…アプリケーション部
12,52…送信データ判定部
13,53…データ送信部
14,23…通信部
21…アプリケーション保持部
22…アプリケーション管理部
30…オーディオ制御ユニット
40…エアコン制御ユニット
50…車載機(車載コントロールユニット)
51…制御信号作成部
54…入力受付部
60…窓開閉制御ユニット
70…施錠/開錠制御ユニット
121,521…送信データ一時記憶部
122,522…操作判定部
123,523…過去データ記憶部
124,524…判定ルール記憶部
125,525…不正判定部
126,526…エラー処理実行部

Claims (7)

  1. アプリケーションを保持及び実行するアプリケーション部と、
    前記アプリケーションの実行中に被制御ユニットに送信しようとする送信対象データが人の操作に関連するか否かを判定する操作判定部と、
    人の操作に関連するデータに対応する判定ルールを記憶する判定ルール記憶部と、
    人の操作に関連する過去の送信データを記憶する過去データ記憶部と、
    前記操作判定部により前記送信対象データが人の操作に関連すると判定された場合、前記送信対象データに対応する前記判定ルール及び前記過去の送信データを用いて、前記送信対象データが不正か判定する不正判定部
    とを備えることを特徴とする車載機。
  2. 前記不正判定部は、前記送信対象データに対応する前記過去の送信データの送信時刻と現在時刻との差分が、前記判定ルールで規定された閾値以下の場合、前記送信対象データが不正と判定することを特徴とする請求項1に記載の車載機。
  3. 前記不正判定部により前記送信対象データが不正と判定された場合、前記送信対象データの送信を中止させ、前記送信対象データに対応する不正アプリを前記アプリケーション部から削除するエラー処理実行部を更に備えることを特徴とする請求項1又は2に記載の車載機。
  4. 前記エラー処理実行部が、前記不正アプリの作成者と同一作成者が作成したアプリケーションを前記アプリケーション部から削除することを特徴とする請求項3に記載の車載機。
  5. 請求項1〜4のいずれか1項に記載の車載機と、
    前記車載機がダウンロード可能な複数のアプリケーションを保持するデータセンターとを備え、
    前記不正判定部により前記送信対象データが不正と判定された場合、前記車載機が、前記送信対象データに対応する不正アプリに関する情報を前記データセンターに送信し、
    前記データセンターは、前記不正アプリに関する情報に基づいて、前記データセンターが保持している前記不正アプリに該当するアプリケーションを削除することを特徴とするセキュリティシステム。
  6. 前記車載機が、前記データセンターから前記不正アプリに関する情報を受信した場合、前記車載機が保持している前記不正アプリに該当するアプリケーションを削除し、前記削除した結果を前記データセンターに送信することを特徴とする請求項5に記載のセキュリティシステム。
  7. 人の操作を受け付ける入力受付部と、
    前記入力受付部により受け付けた人の操作に応じて制御信号を作成する制御信号作成部と、
    前記制御信号を被制御ユニットに送信するデータ送信部と、
    前記データ送信部により送信しようとする制御信号が人の操作に関連するか判定する操作判定部と、
    人の操作に関連する制御信号に対応する判定ルールを記憶した判定ルール記憶部と、
    人の操作に関連する過去に送信した制御信号を記憶する過去データ記憶部と、
    前記操作判定部により前記送信しようとする制御信号が人の操作に関連すると判定された場合、前記送信しようとする制御信号に対応する前記判定ルール及び前記過去に送信した制御信号を用いて、前記送信しようとする制御信号が不正か否かを判定する不正判定部
    とを備えることを特徴とする車載機。
JP2012254002A 2012-11-20 2012-11-20 車載機及びセキュリティシステム Active JP5978944B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012254002A JP5978944B2 (ja) 2012-11-20 2012-11-20 車載機及びセキュリティシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012254002A JP5978944B2 (ja) 2012-11-20 2012-11-20 車載機及びセキュリティシステム

Publications (2)

Publication Number Publication Date
JP2014101008A JP2014101008A (ja) 2014-06-05
JP5978944B2 true JP5978944B2 (ja) 2016-08-24

Family

ID=51023941

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012254002A Active JP5978944B2 (ja) 2012-11-20 2012-11-20 車載機及びセキュリティシステム

Country Status (1)

Country Link
JP (1) JP5978944B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3668829B2 (ja) * 1998-06-03 2005-07-06 トヨタ自動車株式会社 ナビゲーション装置及び記録媒体
WO2007054877A1 (en) * 2005-11-10 2007-05-18 Nxp B.V. Bus guardian with improved channel monitoring
JP2008021274A (ja) * 2006-06-15 2008-01-31 Interlex Inc プロセス監視装置及び方法
JP4730409B2 (ja) * 2008-07-22 2011-07-20 沖電気工業株式会社 処理装置
JP5387495B2 (ja) * 2010-04-27 2014-01-15 株式会社デンソー 車両用電子制御装置

Also Published As

Publication number Publication date
JP2014101008A (ja) 2014-06-05

Similar Documents

Publication Publication Date Title
US11115425B2 (en) In-vehicle apparatus and log collection system
US9821767B2 (en) Key module
CN102630320B (zh) 信息处理装置以及应用程序不正当协作防止方法
JP6669138B2 (ja) 攻撃監視システムおよび攻撃監視方法
JP6201039B2 (ja) 通信システム及び通信方法
JP2013060047A (ja) 車両用ネットワークシステム及び車両用情報処理方法
CN104364793A (zh) 用于移动通信设备的安全模式
US8219132B2 (en) Communication system, base station apparatus and communication method
JP7176569B2 (ja) 情報処理装置、ログ分析方法及びプログラム
JP5978944B2 (ja) 車載機及びセキュリティシステム
US20140228000A1 (en) Terminal device, information processing apparatus and activation authentication method
JP2014102673A (ja) 車載機及びセキュリティシステム
JP5269408B2 (ja) 盗用防止装置
JP7478085B2 (ja) 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
JP2008217221A (ja) 鉄道保守作業管理システム
JP2010211453A (ja) ファイル改竄チェック方法および装置
JP2003047048A (ja) 無線通信システム、無線携帯端末装置、管理センタ装置、無線通信方法、プログラム、および媒体
JP5257612B2 (ja) 情報漏洩防止システム、管理装置、制御装置、情報漏洩防止方法、及びプログラム
JP2020173535A (ja) 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム
JP6602032B2 (ja) 車上データベース更新システム
JP2012043144A (ja) サーバ・ベース・コンピューティング・システムおよびプログラム
JP6099381B2 (ja) 車載装置
JP2002199024A (ja) 不正アクセス監視方法および内部通信ネットワーク
JP6053450B2 (ja) 情報処理装置、方法およびプログラム
WO2017088545A1 (zh) 一种终端的报警方法及终端

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160628

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160711

R151 Written notification of patent or utility model registration

Ref document number: 5978944

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151