JP6140874B1 - Control device, control method, and computer program - Google Patents

Control device, control method, and computer program Download PDF

Info

Publication number
JP6140874B1
JP6140874B1 JP2016195975A JP2016195975A JP6140874B1 JP 6140874 B1 JP6140874 B1 JP 6140874B1 JP 2016195975 A JP2016195975 A JP 2016195975A JP 2016195975 A JP2016195975 A JP 2016195975A JP 6140874 B1 JP6140874 B1 JP 6140874B1
Authority
JP
Japan
Prior art keywords
application
communication
vehicle
automobile
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016195975A
Other languages
Japanese (ja)
Other versions
JP2018060295A (en
Inventor
竹森 敬祐
敬祐 竹森
誠一郎 溝口
誠一郎 溝口
歩 窪田
歩 窪田
隆将 磯原
隆将 磯原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016195975A priority Critical patent/JP6140874B1/en
Application granted granted Critical
Publication of JP6140874B1 publication Critical patent/JP6140874B1/en
Publication of JP2018060295A publication Critical patent/JP2018060295A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】自動車の車載制御システムのECUのコンピュータプログラムの更新等の保守作業の信頼性を向上させること。【解決手段】車両に搭載される情報処理装置との間でアクセスを行うデバイスをファイル記述子により識別するデバイス識別部と、情報処理装置が現在実行しているアプリケーションをオペレーティングシステムに問い合わせて識別するアプリケーション識別部と、デバイス識別部の識別結果及びアプリケーション識別部の識別結果に基づいて、車両の保守処理を実行する第1アプリケーションの通信を対象に、第1アプリケーションとの通信が許可されたデバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と第1アプリケーションとの間の通信経路のみを確立させる通信制御部と、を備える。【選択図】図3An object of the present invention is to improve the reliability of maintenance work such as updating of a computer program of an ECU of an in-vehicle control system of an automobile. A device identification unit that identifies a device that accesses an information processing apparatus mounted on a vehicle by a file descriptor, and inquires an operating system to identify an application that is currently being executed by the information processing apparatus Based on the identification result of the application identification unit, the device identification unit, and the identification result of the application identification unit, a device that is permitted to communicate with the first application for communication of the first application that executes the vehicle maintenance process, or A communication control unit that establishes only a communication path between the second application or both of the device and the second application and the first application. [Selection] Figure 3

Description

本発明は、制御装置、制御方法、及びコンピュータプログラムに関する。   The present invention relates to a control device, a control method, and a computer program.

従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。   2. Description of the Related Art Conventionally, an automobile has an ECU (Electronic Control Unit), and functions such as engine control are realized by the ECU. The ECU is a kind of computer and realizes a desired function by a computer program. For example, Non-Patent Document 1 discloses a security technique for an in-vehicle control system configured by connecting a plurality of ECUs to a CAN (Controller Area Network).

竹森敬祐、“セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−”、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月Keisuke Takemori, “Protection of in-vehicle control systems based on secure elements: Organizing and considering element technologies”, IEICE, IEICE Technical Report, vol. 114, no. 508, pp. 73-78, 2015 March

自動車の車載制御システムのECUのコンピュータプログラムの更新等の保守作業の信頼性を向上させることが一つの課題であった。   One problem has been to improve the reliability of maintenance work such as updating the computer program of the ECU of an in-vehicle control system of an automobile.

本発明は、このような事情を考慮してなされたものであり、自動車の車載制御システムのECUのコンピュータプログラムの更新等の保守作業の信頼性を向上させることができる、制御装置、制御方法、及びコンピュータプログラムを提供することを課題とする。   The present invention has been made in view of such circumstances, a control device, a control method, and the like, which can improve the reliability of maintenance work such as updating the computer program of the ECU of an in-vehicle control system of an automobile, It is another object of the present invention to provide a computer program.

(1)本発明の一態様は、車両に搭載される情報処理装置との間でアクセスを行うデバイスを前記情報処理装置のオペレーティングシステムのファイル記述子により識別するデバイス識別部と、前記情報処理装置が現在実行しているアプリケーションを前記オペレーティングシステムに問い合わせて識別するアプリケーション識別部と、前記デバイス識別部の識別結果及び前記アプリケーション識別部の識別結果に基づいて、前記車両の保守に関する処理を実行する第1アプリケーションの通信を対象に、前記第1アプリケーションとの通信が許可された特定の前記デバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と前記第1アプリケーションとの間の通信経路のみを確立させる通信制御部と、を備える制御装置である。
(2)本発明の一態様は、上記(1)の制御装置において、一の前記デバイスは前記車両の外部の装置と通信を行う通信デバイスであり、前記通信制御部は、前記第1アプリケーションが前記通信デバイスを介して行う通信について、前記第1アプリケーションから開始する通信の通信経路のみを確立させる、制御装置である。
(3)本発明の一態様は、上記(2)の制御装置において、前記情報処理装置への利用者の操作に応じて前記第1アプリケーションの通信を開始させる制御を行う実行制御部をさらに備える、制御装置である。
(4)本発明の一態様は、上記(1)から(3)のいずれかの制御装置において、前記車両の状態を示す車両情報を取得する車両情報取得部をさらに備え、前記実行制御部は、前記車両情報に基づいて前記第1アプリケーションの実行を制御する、制御装置である。
(5)本発明の一態様は、上記(4)の制御装置において、前記車両は自動車であり、前記実行制御部は、前記車両情報が示す前記車両の状態が所定の実行条件を満たしている時に、前記第1アプリケーションに前記自動車の保守に関する処理を実行させ、前記実行条件は、前記自動車の走行モードが「パーキング(駐車)」であること、前記自動車のエンジンが始動していること、前記自動車のバッテリの残容量が所定量を満たしていること、又は、前記自動車のイモビライザが前記自動車の車内に存在していることのうち、いずれか一つ又は複数の組合せである、制御装置である。 (1) According to one aspect of the present invention, a device identification unit that identifies a device that accesses an information processing apparatus mounted on a vehicle by a file descriptor of an operating system of the information processing apparatus, An application identifying unit that identifies the application currently being executed by inquiring of the operating system, and a process for maintaining the vehicle based on the identification result of the device identifying unit and the identification result of the application identifying unit. For communication of one application, only a specific communication path between the first application and the specific device or the second application permitted to communicate with the first application or both of the device and the second application. A communication control unit to be established It is that the control device.
(2) One aspect of the present invention is the control device according to (1), wherein the one device is a communication device that communicates with an external device of the vehicle, and the communication control unit includes the first application. It is a control apparatus which establishes only the communication path | route of the communication started from the said 1st application about the communication performed via the said communication device.
(3) According to one aspect of the present invention, the control device according to (2) further includes an execution control unit that performs control to start communication of the first application in response to a user operation on the information processing device. The control device.
(4) One aspect of the present invention is the control device according to any one of (1) to (3), further including a vehicle information acquisition unit that acquires vehicle information indicating a state of the vehicle, wherein the execution control unit includes: The control device controls execution of the first application based on the vehicle information.
(5) One aspect of the present invention is the control device according to (4), wherein the vehicle is an automobile, and the execution control unit is configured such that the state of the vehicle indicated by the vehicle information satisfies a predetermined execution condition. Sometimes, the first application executes processing related to maintenance of the vehicle, and the execution conditions are that the driving mode of the vehicle is “parking”, the engine of the vehicle is started, A control device that is any one or a combination of a remaining capacity of a vehicle battery satisfying a predetermined amount, or an immobilizer of the vehicle being present in the vehicle. .

(6)本発明の一態様は、制御装置が、車両に搭載される情報処理装置との間でアクセスを行うデバイスを前記情報処理装置のオペレーティングシステムのファイル記述子により識別するデバイス識別ステップと、前記制御装置が、前記情報処理装置が現在実行しているアプリケーションを前記オペレーティングシステムに問い合わせて識別するアプリケーション識別ステップと、前記制御装置が、前記デバイス識別ステップの識別結果及び前記アプリケーション識別ステップの識別結果に基づいて、前記車両の保守に関する処理を実行する第1アプリケーションの通信を対象に、前記第1アプリケーションとの通信が許可された特定の前記デバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と前記第1アプリケーションとの間の通信経路のみを確立させる通信制御ステップと、を含む制御方法である。 (6) One aspect of the present invention is a device identification step in which a control device identifies a device that accesses an information processing device mounted on a vehicle by a file descriptor of an operating system of the information processing device; An application identifying step in which the control device inquires the operating system to identify an application currently executed by the information processing device, and an identification result in the device identifying step and an identification result in the application identifying step. The communication of the first application that executes the process related to the maintenance of the vehicle based on the specific device or the second application or the device and the second application that are permitted to communicate with the first application. Both and said A communication control step of establishing only a communication path between the application is a control method comprising.

(7)本発明の一態様は、コンピュータに、車両に搭載される情報処理装置との間でアクセスを行うデバイスを前記情報処理装置のオペレーティングシステムのファイル記述子により識別するデバイス識別機能と、前記情報処理装置が現在実行しているアプリケーションを前記オペレーティングシステムに問い合わせて識別するアプリケーション識別機能と、前記デバイス識別機能の識別結果及び前記アプリケーション識別機能の識別結果に基づいて、前記車両の保守に関する処理を実行する第1アプリケーションの通信を対象に、前記第1アプリケーションとの通信が許可された特定の前記デバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と前記第1アプリケーションとの間の通信経路のみを確立させる通信制御機能と、を実現させるためのコンピュータプログラムである。 (7) According to one aspect of the present invention, there is provided a device identification function for identifying a device accessing a computer with an information processing apparatus mounted on a vehicle by using a file descriptor of an operating system of the information processing apparatus, An application identification function that inquires the operating system to identify an application currently being executed by the information processing apparatus, and a process related to vehicle maintenance based on the identification result of the device identification function and the identification result of the application identification function Communication between the first application, the specific device or the second application permitted to communicate with the first application, or both of the device and the second application, for communication of the first application to be executed Establish route only A communication control function to a computer program for realizing.

本発明によれば、自動車の車載制御システムのECUのコンピュータプログラムの更新等の保守作業の信頼性を向上させることができるという効果が得られる。   According to the present invention, it is possible to improve the reliability of maintenance work such as updating of a computer program of an ECU of an in-vehicle control system of an automobile.

一実施形態に係る自動車1001の構成例を示す図である。It is a figure which shows the structural example of the motor vehicle 1001 which concerns on one Embodiment. 一実施形態に係るインフォテイメント機器1040のハードウェア構成例を示すブロック図である。It is a block diagram which shows the hardware structural example of the infotainment apparatus 1040 which concerns on one Embodiment. 一実施形態に係る制御装置1040aの機能構成例を示すブロック図である。It is a block diagram which shows the function structural example of the control apparatus 1040a which concerns on one Embodiment. 一実施形態に係るタッチパネル18の設置例を示す図である。It is a figure which shows the example of installation of the touch panel 18 which concerns on one Embodiment. 一実施形態に係る制御方法の例を示す説明図である。It is explanatory drawing which shows the example of the control method which concerns on one Embodiment. 一実施形態に係る制御方法の例を示す説明図である。It is explanatory drawing which shows the example of the control method which concerns on one Embodiment.

以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following embodiment, a vehicle will be described as an example of a vehicle.

図1は、一実施形態に係る自動車1001の構成例を示す図である。図1において、自動車1001は、車載コンピュータシステム1002と、インフォテイメント(Infotainment)機器1040と、TCU(Tele Communication Unit)1050と、診断ポート1060と、ゲートウェイ1070とを備える。車載コンピュータシステム1002は、データ保安装置1010と複数のECU(電子制御装置)1020とがCAN(Controller Area Network)1030に接続されて構成される。CAN1030は通信ネットワークである。CANは車両に搭載される通信ネットワークの一つとして知られている。本実施形態において、車載コンピュータシステム1002は、自動車1001の車載制御システムとして機能する。   FIG. 1 is a diagram illustrating a configuration example of an automobile 1001 according to an embodiment. In FIG. 1, an automobile 1001 includes an in-vehicle computer system 1002, an infotainment device 1040, a TCU (Tele Communication Unit) 1050, a diagnostic port 1060, and a gateway 1070. The in-vehicle computer system 1002 is configured by connecting a data security device 1010 and a plurality of ECUs (electronic control devices) 1020 to a CAN (Controller Area Network) 1030. CAN 1030 is a communication network. CAN is known as one of communication networks mounted on vehicles. In the present embodiment, the in-vehicle computer system 1002 functions as an in-vehicle control system for the automobile 1001.

ECU1020は、自動車1001に備わる車載コンピュータである。ECU1020は、自動車1001のエンジン制御等の制御機能を有する。ECU1020として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。データ保安装置1010は、自動車1001に備わる車載コンピュータである。データ保安装置1010は、自動車1001に搭載されたECU1020に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車1001に搭載されたいずれかのECUをデータ保安装置1010として機能させてもよい。   The ECU 1020 is an in-vehicle computer provided in the automobile 1001. ECU 1020 has a control function such as engine control of automobile 1001. Examples of the ECU 1020 include an ECU having an engine control function, an ECU having a handle control function, and an ECU having a brake control function. The data security device 1010 is an in-vehicle computer provided in the automobile 1001. The data security device 1010 has a data security (security) function applied to the ECU 1020 mounted on the automobile 1001. Note that any ECU mounted on the automobile 1001 may function as the data security device 1010.

データ保安装置1010は、CAN1030を介して、各ECU1020との間でデータを交換する。ECU1020は、CAN1030を介して、他のECU1020との間でデータを交換する。   The data security device 1010 exchanges data with each ECU 1020 via the CAN 1030. ECU 1020 exchanges data with other ECUs 1020 via CAN 1030.

なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車1001に備え、CAN以外の通信ネットワークを介して、データ保安装置1010とECU1020との間のデータの交換、及び、ECU1020同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車1001に備えてもよい。また、CANとLINとを自動車1001に備えてもよい。また、自動車1001において、LINに接続するECU1020を備えてもよい。また、データ保安装置1010は、CANとLINとに接続されてもよい。また、データ保安装置1010は、CANを介して該CANに接続されるECU1020との間でデータを交換し、また、LINを介して該LINに接続されるECU1020との間でデータを交換してもよい。また、ECU1020同士が、LINを介してデータを交換してもよい。   In addition, as a communication network mounted on the vehicle, a communication network other than CAN is provided in the automobile 1001, and data exchange between the data security device 1010 and the ECU 1020 and communication between the ECUs 1020 are performed via the communication network other than CAN. Data exchanges between them may be performed. For example, the automobile 1001 may include a LIN (Local Interconnect Network). In addition, the automobile 1001 may include CAN and LIN. Further, the automobile 1001 may include an ECU 1020 connected to the LIN. Further, the data security device 1010 may be connected to CAN and LIN. Further, the data security device 1010 exchanges data with the ECU 1020 connected to the CAN via the CAN, and exchanges data with the ECU 1020 connected to the LIN via the LIN. Also good. Further, the ECUs 1020 may exchange data via the LIN.

ゲートウェイ1070は、車載コンピュータシステム1002の内部と外部の間の通信を監視する。ゲートウェイ1070はCAN1030に接続される。また、ゲートウェイ1070は、車載コンピュータシステム1002の外部の装置の例として、インフォテイメント機器1040、TCU1050及び診断ポート1060と接続される。データ保安装置1010及びECU1020は、ゲートウェイ1070を介して、車載コンピュータシステム1002の外部の装置と通信を行う。   The gateway 1070 monitors communication between the inside and the outside of the in-vehicle computer system 1002. The gateway 1070 is connected to the CAN 1030. The gateway 1070 is connected to an infotainment device 1040, a TCU 1050, and a diagnostic port 1060 as an example of an external device of the in-vehicle computer system 1002. The data security device 1010 and the ECU 1020 communicate with devices outside the in-vehicle computer system 1002 via the gateway 1070.

なお、CAN1030の構成として、CAN1030が複数のバス(通信線)を備え、該複数のバスをゲートウェイ1070に接続してもよい。この場合、一つのバスに、一つのECU1020又は複数のECU1020が接続される。また、同じバスにデータ保安装置1010とECU1020とが接続されてもよく、又は、データ保安装置1010が接続されるバスとECU1020が接続されるバスとを別個にしてもよい。   As a configuration of the CAN 1030, the CAN 1030 may include a plurality of buses (communication lines), and the plurality of buses may be connected to the gateway 1070. In this case, one ECU 1020 or a plurality of ECUs 1020 is connected to one bus. Further, the data security device 1010 and the ECU 1020 may be connected to the same bus, or the bus to which the data security device 1010 is connected and the bus to which the ECU 1020 is connected may be separated.

自動車1001は診断ポート1060を備える。診断ポート1060として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。診断ポート1060には、自動車1001の外部の装置を接続可能である。診断ポート1060に接続可能な自動車1001の外部の装置として、例えば、図1に示されるメンテナンスツール2100などがある。車載コンピュータシステム1002と、診断ポート1060に接続された装置、例えばメンテナンスツール2100とは、診断ポート1060及びゲートウェイ1070を介して、データを交換する。メンテナンスツール2100は、OBDポートに接続される従来の診断ツールの機能を有していてもよい。   The automobile 1001 includes a diagnostic port 1060. As the diagnostic port 1060, for example, an OBD (On-board Diagnostics) port may be used. A device outside the automobile 1001 can be connected to the diagnostic port 1060. As an external device of the automobile 1001 that can be connected to the diagnosis port 1060, for example, there is a maintenance tool 2100 shown in FIG. The in-vehicle computer system 1002 and a device connected to the diagnostic port 1060, for example, the maintenance tool 2100 exchange data via the diagnostic port 1060 and the gateway 1070. The maintenance tool 2100 may have a function of a conventional diagnostic tool connected to the OBD port.

なお、自動車1001は、診断ポート1060から自動車1001の車載装置へのアクセスを制限したり不可能にしたりする診断ポートアクセス制限部をさらに備えてもよい。さらに、その診断ポートアクセス制限部は、診断ポート1060から自動車1001の車載装置へのアクセスを制限したり不可能にしたりすることを任意に設定できる設定操作部を備えてもよい。   The automobile 1001 may further include a diagnostic port access restriction unit that restricts or disables access from the diagnostic port 1060 to the in-vehicle device of the automobile 1001. Further, the diagnostic port access restriction unit may include a setting operation unit that can arbitrarily set whether to restrict or disable access from the diagnostic port 1060 to the in-vehicle device of the automobile 1001.

自動車1001はインフォテイメント機器1040を備える。インフォテイメント機器1040は、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを備える。本実施形態では、インフォテイメント機器1040は、さらに、車載診断ツールの機能を備える。車載診断ツールは、自動車1001の各種の保守作業を実施する。車載診断ツールは、OBDポートに接続される従来の診断ツールの機能を有していてもよい。   The automobile 1001 includes an infotainment device 1040. The infotainment device 1040 includes, for example, a navigation function, a location information service function, a multimedia playback function such as music and video, a voice communication function, a data communication function, and an Internet connection function. In the present embodiment, the infotainment device 1040 further includes a function of an in-vehicle diagnostic tool. The in-vehicle diagnostic tool performs various maintenance operations of the automobile 1001. The in-vehicle diagnostic tool may have a function of a conventional diagnostic tool connected to the OBD port.

自動車1001は、TCU1050を備える。TCU1050は通信装置である。TCU1050は通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。   The automobile 1001 includes a TCU 1050. The TCU 1050 is a communication device. The TCU 1050 includes a communication module 1051. The communication module 1051 performs wireless communication using a wireless communication network. The communication module 1051 includes a SIM (Subscriber Identity Module) 1052. The SIM 1052 is a SIM in which information for using the wireless communication network is written. The communication module 1051 can use the SIM 1052 to connect to the wireless communication network and perform wireless communication. Note that an eSIM (Embedded Subscriber Identity Module) may be used as the SIM 1052.

インフォテイメント機器1040は、ゲートウェイ1070を介して、TCU1050とデータを交換する。なお、TCU1050とインフォテイメント機器1040とを通信ケーブルで直接接続し、TCU1050とインフォテイメント機器1040は該通信ケーブルを介してデータを交換してもよい。例えば、USB(universal serial bus)ケーブルでTCU1050とインフォテイメント機器1040とを直接接続し、TCU1050とインフォテイメント機器1040は該USBケーブルを介してデータを交換してもよい。また、TCU1050とインフォテイメント機器1040とをUSBケーブル等の通信ケーブルで直接接続し、該通信ケーブルを介してTCU1050とインフォテイメント機器1040間のデータの交換を行う場合、TCU1050とインフォテイメント機器1040とのうち送信側の装置は、受信側の装置に送信するデータを一時的に蓄えるバッファを備えてもよい。   The infotainment device 1040 exchanges data with the TCU 1050 via the gateway 1070. Note that the TCU 1050 and the infotainment device 1040 may be directly connected via a communication cable, and the TCU 1050 and the infotainment device 1040 may exchange data via the communication cable. For example, the TCU 1050 and the infotainment device 1040 may be directly connected by a USB (universal serial bus) cable, and the TCU 1050 and the infotainment device 1040 may exchange data via the USB cable. Further, when the TCU 1050 and the infotainment device 1040 are directly connected by a communication cable such as a USB cable and data is exchanged between the TCU 1050 and the infotainment device 1040 via the communication cable, the TCU 1050 and the infotainment device 1040 are exchanged. Of these, the transmission-side apparatus may include a buffer that temporarily stores data to be transmitted to the reception-side apparatus.

なお、TCU1050を診断ポート1060に接続し、インフォテイメント機器1040が、ゲートウェイ1070及び診断ポート1060を介して、該診断ポート1060に接続されたTCU1050とデータを交換してもよい。又は、インフォテイメント機器1040が、SIM1052を含む通信モジュール1051を備えてもよい。インフォテイメント機器1040がSIM1052を含む通信モジュール1051を備える場合には、自動車1001はTCU1050を備えなくてもよい。   The TCU 1050 may be connected to the diagnostic port 1060, and the infotainment device 1040 may exchange data with the TCU 1050 connected to the diagnostic port 1060 via the gateway 1070 and the diagnostic port 1060. Alternatively, the infotainment device 1040 may include a communication module 1051 including a SIM 1052. When the infotainment device 1040 includes the communication module 1051 including the SIM 1052, the automobile 1001 may not include the TCU 1050.

データ保安装置1010は、メイン演算器1011とHSM(Hardware Security Module)1012を備える。メイン演算器1011は、データ保安装置1010の機能を実現させるためのコンピュータプログラムを実行する。HSM1012は暗号処理機能等を有する。HSM1012は耐タンパー性(Tamper Resistant)を有する。HSM1012はセキュアエレメント(Secure Element:SE)の例である。HSM1012は、データを記憶する記憶部1013を備える。メイン演算器1011はHSM1012を使用する。   The data security device 1010 includes a main computing unit 1011 and an HSM (Hardware Security Module) 1012. The main arithmetic unit 1011 executes a computer program for realizing the functions of the data security device 1010. The HSM 1012 has a cryptographic processing function and the like. HSM 1012 has tamper resistance. The HSM 1012 is an example of a secure element (SE). The HSM 1012 includes a storage unit 1013 that stores data. The main arithmetic unit 1011 uses an HSM 1012.

ECU1020は、メイン演算器1021とSHE(Secure Hardware Extension)1022を備える。メイン演算器1021は、ECU1020の機能を実現させるためのコンピュータプログラムを実行する。SHE1022は暗号処理機能等を有する。SHE1022は耐タンパー性を有する。SHE1022はセキュアエレメントの例である。SHE1022は、データを記憶する記憶部1023を備える。メイン演算器1021はSHE1022を使用する。   The ECU 1020 includes a main computing unit 1021 and a SHE (Secure Hardware Extension) 1022. The main computing unit 1021 executes a computer program for realizing the functions of the ECU 1020. The SHE 1022 has a cryptographic processing function and the like. SHE1022 has tamper resistance. SHE1022 is an example of a secure element. The SHE 1022 includes a storage unit 1023 that stores data. The main computing unit 1021 uses SHE1022.

サーバ装置2000は、通信回線を介して、自動車1001のTCU1050の通信モジュール1051とデータを送受する。サーバ装置2000は、自動車1001のTCU1050の通信モジュール1051が利用する無線通信ネットワークを介して、該通信モジュール1051とデータを送受する。又は、サーバ装置2000は、インターネット等の通信ネットワークと該無線通信ネットワークとを介して、該通信モジュール1051とデータを送受してもよい。また、例えば、サーバ装置2000と通信モジュール1051との間をVPN(Virtual Private Network)回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。なお、サーバ装置2000と自動車1001とを通信ケーブルで接続してもよい。例えば、サーバ装置2000と自動車1001のゲートウェイ1070とを通信ケーブルで接続するように構成してもよい。   Server device 2000 transmits and receives data to and from communication module 1051 of TCU 1050 of automobile 1001 via a communication line. Server device 2000 transmits and receives data to and from communication module 1051 via a wireless communication network used by communication module 1051 of TCU 1050 of automobile 1001. Alternatively, the server device 2000 may transmit / receive data to / from the communication module 1051 via a communication network such as the Internet and the wireless communication network. Further, for example, the server apparatus 2000 and the communication module 1051 may be connected by a dedicated line such as a VPN (Virtual Private Network) line, and data may be transmitted / received through the dedicated line. For example, a dedicated line such as a VPN line may be provided by a wireless communication network corresponding to the SIM 1052. Note that the server device 2000 and the automobile 1001 may be connected by a communication cable. For example, you may comprise so that the server apparatus 2000 and the gateway 1070 of the motor vehicle 1001 may be connected with a communication cable.

サーバ装置2000は、自動車1001の保守作業を実施する正規のリモートサイト(以下、正規リモートサイトと称する)を開設している。正規リモートサイトは、自動車1001のインフォテイメント機器1040の車載診断ツールと連携して自動車1001の各種の保守作業を実施する。自動車1001の保守作業の一例として、ECU1020のECUコード(ECU code)の更新作業がある。ECUコードは、ECU1020に適用されるデータの例である。ECUコードは、ECU1020にインストールされる更新プログラム等のコンピュータプログラムであってもよく、又は、ECU1020に設定されるパラメータ設定値などの設定データであってもよい。   Server device 2000 establishes a regular remote site (hereinafter referred to as a regular remote site) for carrying out maintenance work of automobile 1001. The authorized remote site performs various maintenance operations of the automobile 1001 in cooperation with the in-vehicle diagnostic tool of the infotainment device 1040 of the automobile 1001. As an example of maintenance work of the automobile 1001, there is an update work of an ECU code (ECU code) of the ECU 1020. The ECU code is an example of data applied to the ECU 1020. The ECU code may be a computer program such as an update program installed in the ECU 1020, or may be setting data such as a parameter setting value set in the ECU 1020.

なお、自動車1001のインフォテイメント機器1040の車載診断ツールは、単独でも、又は、サーバ装置2000と連携してでも、自動車1001の各種の保守作業を実施することができる。   In addition, the vehicle-mounted diagnostic tool of the infotainment device 1040 of the automobile 1001 can perform various maintenance operations of the automobile 1001 alone or in cooperation with the server device 2000.

次に図2、図3及び図4を参照して本実施形態に係るインフォテイメント機器1040を説明する。図2は、インフォテイメント機器1040のハードウェア構成例を示すブロック図である。図2において、インフォテイメント機器1040は、CPU(Central Processing Unit:中央演算処理装置)10と、記憶部12と、セキュアブート部14と、インタフェース部16と、タッチパネル18と、マイクロフォン(マイク)20と、スピーカ22とを備える。これら各部はデータを交換できるように構成されている。インフォテイメント機器1040は、自動車1001に搭載される情報処理装置の例である。   Next, the infotainment device 1040 according to the present embodiment will be described with reference to FIGS. 2, 3, and 4. FIG. 2 is a block diagram illustrating a hardware configuration example of the infotainment device 1040. 2, the infotainment device 1040 includes a CPU (Central Processing Unit) 10, a storage unit 12, a secure boot unit 14, an interface unit 16, a touch panel 18, a microphone (microphone) 20, and the like. And a speaker 22. These units are configured to exchange data. The infotainment device 1040 is an example of an information processing device mounted on the automobile 1001.

CPU10はインフォテイメント機器1040の制御を行う。この制御機能は、CPU10がコンピュータプログラムを実行することにより実現される。記憶部12は、CPU10で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部12は、少なくとも、診断アプリケーション及び制御アプリケーション(共に図示せず)を記憶している。診断アプリケーションは、車載診断ツールの機能を実現させるためのコンピュータプログラムである。制御アプリケーションは、診断アプリケーションに関する制御機能を実現させるためのコンピュータプログラムである。   The CPU 10 controls the infotainment device 1040. This control function is realized by the CPU 10 executing a computer program. The storage unit 12 stores a computer program executed by the CPU 10 and various data. The storage unit 12 stores at least a diagnostic application and a control application (both not shown). The diagnostic application is a computer program for realizing the function of the in-vehicle diagnostic tool. The control application is a computer program for realizing a control function related to a diagnostic application.

セキュアブート部14はセキュアブートを実行する。インタフェース部16は、自インフォテイメント機器1040の外部の装置とデータを送受する。タッチパネル18は、液晶パネル等の表示画面を備え、表示画面へのデータ表示と、利用者による表示画面へのタッチ操作に応じたデータ入力とを行う。本実施形態の一例として、図4に示されるように、タッチパネル18は自動車1001の運転席の正面付近に設置される。利用者は、タッチパネル18をタッチ操作することにより、インフォテイメント機器1040の操作を行うことができる。マイク20は音声の入力を行う。スピーカ22は音声の再生を行う。   The secure boot unit 14 executes secure boot. The interface unit 16 transmits / receives data to / from an external device of the own infotainment device 1040. The touch panel 18 includes a display screen such as a liquid crystal panel, and performs data display on the display screen and data input corresponding to a touch operation on the display screen by the user. As an example of the present embodiment, as shown in FIG. 4, the touch panel 18 is installed near the front of the driver's seat of the automobile 1001. The user can operate the infotainment device 1040 by touching the touch panel 18. The microphone 20 inputs voice. The speaker 22 reproduces sound.

図3は、本実施形態に係る制御装置1040aの機能構成例を示すブロック図である。図3において、制御装置1040aは、デバイス識別部30と、アプリケーション識別部32と、通信制御部34と、車両情報取得部36と、実行制御部38と、を備える。これら制御装置1040aの各部の機能は、図2に示されるインフォテイメント機器1040において、CPU10が記憶部12に記憶される制御アプリケーションを実行することにより実現される。   FIG. 3 is a block diagram illustrating a functional configuration example of the control device 1040a according to the present embodiment. In FIG. 3, the control device 1040 a includes a device identification unit 30, an application identification unit 32, a communication control unit 34, a vehicle information acquisition unit 36, and an execution control unit 38. Functions of these units of the control device 1040a are realized by the CPU 10 executing a control application stored in the storage unit 12 in the infotainment device 1040 shown in FIG.

デバイス識別部30は、自動車1001に搭載されるインフォテイメント機器1040との間でアクセスを行うデバイスをインフォテイメント機器1040のOS(Operating System:オペレーティングシステム)のファイルディスクリプタ(file descriptor:ファイル記述子)により識別する。アプリケーション識別部32は、インフォテイメント機器1040が現在実行しているアプリケーションをOSに問い合わせて識別する。   The device identification unit 30 uses a file descriptor (file descriptor) of an OS (Operating System) of the infotainment device 1040 to determine a device that accesses the infotainment device 1040 mounted on the automobile 1001. Identify. The application identification unit 32 inquires the OS to identify the application currently executed by the infotainment device 1040.

通信制御部34は、デバイス識別部30の識別結果及びアプリケーション識別部32の識別結果に基づいて、診断アプリケーションの通信を対象に、診断アプリケーションとの通信が許可された特定のデバイス又は他のアプリケーション(第2アプリケーション)と診断アプリケーションとの間の通信経路のみを確立させる。又は、通信制御部34は、デバイス識別部30の識別結果及びアプリケーション識別部32の識別結果に基づいて、診断アプリケーションの通信を対象に、診断アプリケーションとの通信が許可された特定のデバイス及び他のアプリケーション(第2アプリケーション)の両方と診断アプリケーションとの間の通信経路のみを確立させる。診断アプリケーションは、自動車1001の保守に関する処理を実行する第1アプリケーションの例である。   Based on the identification result of the device identification unit 30 and the identification result of the application identification unit 32, the communication control unit 34 targets a specific application or other application (for which communication with the diagnostic application is permitted) for communication of the diagnostic application. Only the communication path between the second application) and the diagnostic application is established. Alternatively, the communication control unit 34 targets the communication of the diagnostic application based on the identification result of the device identification unit 30 and the identification result of the application identification unit 32, and other devices and other devices that are permitted to communicate with the diagnostic application. Only the communication path between both the application (second application) and the diagnostic application is established. The diagnosis application is an example of a first application that executes processing related to maintenance of the automobile 1001.

実行制御部38は、診断アプリケーションの実行の制御を行う。例えば、実行制御部38は、インフォテイメント機器1040への利用者の操作(タッチパネル18のタッチ操作)に応じて、診断アプリケーションの実行の制御を行う。車両情報取得部36は、自動車1001の状態を示す車両情報を取得する。実行制御部38は、該車両情報に基づいて診断アプリケーションの実行を制御する。   The execution control unit 38 controls execution of the diagnostic application. For example, the execution control unit 38 controls execution of the diagnostic application in accordance with a user operation (touch operation on the touch panel 18) on the infotainment device 1040. The vehicle information acquisition unit 36 acquires vehicle information indicating the state of the automobile 1001. The execution control unit 38 controls the execution of the diagnostic application based on the vehicle information.

次に図5及び図6を参照して本実施形態に係る制御方法の例を説明する。図5及び図6は、本実施形態に係る制御方法の例を示す説明図である。   Next, an example of a control method according to the present embodiment will be described with reference to FIGS. 5 and 6 are explanatory diagrams illustrating an example of a control method according to the present embodiment.

(制御方法の例1)
図5を参照して制御方法の例1を説明する。制御方法の例1は、インフォテイメント機器1040のタッチパネル18のタッチ操作により、車載診断ツールが自動車1001の各種の保守作業を実施する場合の例である。図5において、インフォテイメント機器1040は、アプリケーション層として、診断アプリケーション50、ナビゲーションアプリケーション52及び車両制御アプリケーション54などの各種のアプリケーションを備える。該アプリケーションがインフォテイメント機器1040のCPU10により実行されることによって、該アプリケーションの機能が実現される。例えば、CPU10が診断アプリケーション50を実行することにより、車載診断ツールの機能が実現される。 (Control method example 1)
Example 1 of the control method will be described with reference to FIG. Example 1 of the control method is an example when the in-vehicle diagnostic tool performs various maintenance operations of the automobile 1001 by a touch operation of the touch panel 18 of the infotainment device 1040. In FIG. 5, the infotainment device 1040 includes various applications such as a diagnostic application 50, a navigation application 52, and a vehicle control application 54 as application layers. When the application is executed by the CPU 10 of the infotainment device 1040, the function of the application is realized. For example, the function of the in-vehicle diagnostic tool is realized by the CPU 10 executing the diagnostic application 50.

インフォテイメント機器1040は、OS層として、OS60を備える。OS60は、OS本体とデバイスドライバなどを備える。OS60は、ファイルディスクリプタ62,64,66を備える。   The infotainment device 1040 includes an OS 60 as an OS layer. The OS 60 includes an OS body and a device driver. The OS 60 includes file descriptors 62, 64, and 66.

インフォテイメント機器1040は、デバイス(物理層)として、タッチパネル18、CANインタフェース16−1、近距離無線通信インタフェース16−2などを備える。CANインタフェース16−1及び近距離無線通信インタフェース16−2は、インタフェース部16に含まれる。CANインタフェース16−1は、CAN1030に接続される車載コンピュータシステム1002のデータ保安装置1010及びECU1020とデータを送受する通信インタフェースである。近距離無線通信インタフェース16−2は、近距離無線通信方式によりデータを送受する通信インタフェースである。近距離無線通信方式として、例えば、Wi−Fi方式やBluetooth(登録商標)などが挙げられる。   The infotainment device 1040 includes a touch panel 18, a CAN interface 16-1, a short-range wireless communication interface 16-2, and the like as devices (physical layers). The CAN interface 16-1 and the short-range wireless communication interface 16-2 are included in the interface unit 16. The CAN interface 16-1 is a communication interface that transmits and receives data to and from the data security device 1010 and the ECU 1020 of the in-vehicle computer system 1002 connected to the CAN 1030. The short-range wireless communication interface 16-2 is a communication interface that transmits and receives data using a short-range wireless communication system. Examples of the short-range wireless communication method include a Wi-Fi method and Bluetooth (registered trademark).

ファイルディスクリプタ62は、タッチパネル18を識別するための識別子である。ファイルディスクリプタ64は、CANインタフェース16−1を識別するための識別子である。ファイルディスクリプタ66は、近距離無線通信インタフェース16−2を識別するための識別子である。デバイス識別部30は、ファイルディスクリプタ62により、タッチパネル18を識別する。デバイス識別部30は、ファイルディスクリプタ64により、CANインタフェース16−1を識別する。デバイス識別部30は、ファイルディスクリプタ66により、近距離無線通信インタフェース16−2を識別する。   The file descriptor 62 is an identifier for identifying the touch panel 18. The file descriptor 64 is an identifier for identifying the CAN interface 16-1. The file descriptor 66 is an identifier for identifying the short-range wireless communication interface 16-2. The device identification unit 30 identifies the touch panel 18 using the file descriptor 62. The device identification unit 30 identifies the CAN interface 16-1 by the file descriptor 64. The device identification unit 30 identifies the short-range wireless communication interface 16-2 by using the file descriptor 66.

図5及び図6に示すタッチパネル18、CANインタフェース16−1、近距離無線通信インタフェース16−2及びLTE(Long Term Evolution)インタフェース16−3は、インフォテイメント機器1040との間でアクセスを行うデバイスの例である。インフォテイメント機器1040との間でアクセスを行うデバイスは、タッチパネル18、CANインタフェース16−1、近距離無線通信インタフェース16−2及びLTEインタフェース16−3に限定されず、さらに他のデバイスであってもよい。OS60は、インフォテイメント機器1040との間でアクセスを行うデバイスを識別するためのファイルディスクリプタを該デバイス毎に備える。   The touch panel 18, the CAN interface 16-1, the short-range wireless communication interface 16-2, and the LTE (Long Term Evolution) interface 16-3 shown in FIGS. 5 and 6 are devices that access the infotainment device 1040. It is an example. Devices that access the infotainment device 1040 are not limited to the touch panel 18, the CAN interface 16-1, the short-range wireless communication interface 16-2, and the LTE interface 16-3, and may be other devices. Good. The OS 60 includes a file descriptor for identifying each device that accesses the infotainment device 1040.

アプリケーション識別部32は、インフォテイメント機器1040が現在実行しているアプリケーションをOS60に問い合わせて識別する。例えば、アプリケーション識別部32は、OS60がプロセスとして起動しているアプリケーションの名称を取得するための特定コマンドを使用して、OS60がプロセスとして起動しているアプリケーションの名称を取得する。例えば、OS60がLinux(登録商標)(リナックス(登録商標))である場合、psコマンドを使用することにより、Linuxがプロセスとして起動しているアプリケーションの名称を取得することができる。   The application identification unit 32 inquires the OS 60 to identify the application currently executed by the infotainment device 1040. For example, the application identification unit 32 acquires the name of the application that the OS 60 is starting as a process by using a specific command for acquiring the name of the application that the OS 60 is starting as a process. For example, when the OS 60 is Linux (registered trademark) (Linux (registered trademark)), by using the ps command, it is possible to acquire the name of an application in which Linux is activated as a process.

通信制御部34は、デバイス識別部30の識別結果及びアプリケーション識別部32の識別結果に基づいて、診断アプリケーション50の通信を対象に、診断アプリケーション50との通信が許可された特定のデバイス又は他のアプリケーションと診断アプリケーション50との間の通信経路のみを確立させる。又は、通信制御部34は、デバイス識別部30の識別結果及びアプリケーション識別部32の識別結果に基づいて、診断アプリケーション50の通信を対象に、診断アプリケーション50との通信が許可された特定のデバイス及び他のアプリケーションの両方と診断アプリケーション50との間の通信経路のみを確立させる。通信制御部34は、予め、通信許可対象情報を保持する。通信許可対象情報は、診断アプリケーション50との通信が許可された特定のデバイス及び他のアプリケーションを示す情報である。   The communication control unit 34 targets the communication of the diagnostic application 50 based on the identification result of the device identification unit 30 and the identification result of the application identification unit 32, or a specific device or other device permitted to communicate with the diagnostic application 50 Only the communication path between the application and the diagnostic application 50 is established. Alternatively, the communication control unit 34 targets the communication of the diagnostic application 50 based on the identification result of the device identification unit 30 and the identification result of the application identification unit 32, and the specific device permitted to communicate with the diagnostic application 50 and Only the communication path between both of the other applications and the diagnostic application 50 is established. The communication control unit 34 holds communication permission target information in advance. The communication permission target information is information indicating a specific device permitted to communicate with the diagnostic application 50 and other applications.

通信制御部34は、デバイス識別部30の識別結果のデバイスと、アプリケーション識別部32の識別結果のアプリケーションとの間の通信を、フック(割り込み)する。例えば、OS60がLinuxである場合、LSM(Linux Security Module)を使用することにより、デバイスとアプリケーションとの間の通信をフックすることができる。また、OS60がLinuxである場合、LSMを使用することにより、診断アプリケーション50に対するデバイス又は他のアプリケーションからの通信要求等の制御を破棄することができる。   The communication control unit 34 hooks (interrupts) communication between the identification result device of the device identification unit 30 and the identification result application of the application identification unit 32. For example, when the OS 60 is Linux, communication between a device and an application can be hooked by using an LSM (Linux Security Module). Further, when the OS 60 is Linux, control such as a communication request from a device or another application to the diagnostic application 50 can be discarded by using LSM.

通信制御部34は、診断アプリケーション50の通信をフックする。通信制御部34は、該フックの結果、診断アプリケーション50の通信相手が通信許可対象情報に含まれる場合に、該通信相手と診断アプリケーション50との間の通信経路を確立させる。一方、通信制御部34は、該フックの結果、診断アプリケーション50の通信相手が通信許可対象情報に含まれない場合には、該通信相手と診断アプリケーション50との間の通信経路を確立させない。これにより、診断アプリケーション50の通信相手が通信許可対象情報に含まれる場合にのみ、診断アプリケーション50と該通信相手とは通信を行うことができる。つまり、診断アプリケーション50の通信相手が通信許可対象情報に含まれない場合には、診断アプリケーション50と該通信相手とは通信を行うことができない。   The communication control unit 34 hooks communication of the diagnostic application 50. If the communication partner of the diagnostic application 50 is included in the communication permission target information as a result of the hook, the communication control unit 34 establishes a communication path between the communication partner and the diagnostic application 50. On the other hand, if the communication partner of the diagnostic application 50 is not included in the communication permission target information as a result of the hook, the communication control unit 34 does not establish a communication path between the communication partner and the diagnostic application 50. Thereby, only when the communication partner of the diagnostic application 50 is included in the communication permission target information, the diagnostic application 50 and the communication partner can communicate with each other. That is, when the communication partner of the diagnostic application 50 is not included in the communication permission target information, the diagnostic application 50 and the communication partner cannot communicate with each other.

図5に示される例では、診断アプリケーション50との通信が許可されたデバイスは、タッチパネル18及びCANインタフェース16−1である。近距離無線通信インタフェース16−2は、診断アプリケーション50との通信が許可されていない。また、診断アプリケーション50との通信が許可された他のアプリケーションは、存在しない。したがって、図5の例では、通信許可対象情報は、タッチパネル18及びCANインタフェース16−1のみを示す情報である。   In the example shown in FIG. 5, the devices permitted to communicate with the diagnostic application 50 are the touch panel 18 and the CAN interface 16-1. The short-range wireless communication interface 16-2 is not permitted to communicate with the diagnostic application 50. There are no other applications that are permitted to communicate with the diagnostic application 50. Therefore, in the example of FIG. 5, the communication permission target information is information indicating only the touch panel 18 and the CAN interface 16-1.

図5において、通信制御部34は、通信許可対象情報に基づいて、診断アプリケーション50間の通信経路A1とタッチパネル18間の通信経路D1とを接続する。これにより、診断アプリケーション50とタッチパネル18との間の通信経路が確立されるので、診断アプリケーション50とタッチパネル18とは通信を行うことができる。診断アプリケーション50とタッチパネル18との通信が可能になることにより、インフォテイメント機器1040のタッチパネル18のタッチ操作によって車載診断ツールの操作を行うことができるようになる。これは、車載診断ツールの正常な利用形態である。   In FIG. 5, the communication control unit 34 connects the communication path A1 between the diagnostic applications 50 and the communication path D1 between the touch panels 18 based on the communication permission target information. As a result, a communication path between the diagnostic application 50 and the touch panel 18 is established, so that the diagnostic application 50 and the touch panel 18 can communicate with each other. By enabling communication between the diagnostic application 50 and the touch panel 18, the in-vehicle diagnostic tool can be operated by a touch operation on the touch panel 18 of the infotainment device 1040. This is a normal usage pattern of the in-vehicle diagnostic tool.

また、図5において、通信制御部34は、通信許可対象情報に基づいて、診断アプリケーション50間の通信経路A2とCANインタフェース16−1間の通信経路D2とを接続する。これにより、診断アプリケーション50とCANインタフェース16−1との間の通信経路が確立されるので、診断アプリケーション50は、CANインタフェース16−1を介して、CAN1030に接続される車載コンピュータシステム1002のデータ保安装置1010及びECU1020と通信を行うことができる。診断アプリケーション50とデータ保安装置1010及びECU1020との通信が可能になることにより、車載診断ツールは自動車1001の各種の保守作業を実施することができる。これは、車載診断ツールの正常な利用形態である。   In FIG. 5, the communication control unit 34 connects the communication path A2 between the diagnostic applications 50 and the communication path D2 between the CAN interfaces 16-1 based on the communication permission target information. As a result, a communication path between the diagnostic application 50 and the CAN interface 16-1 is established, so that the diagnostic application 50 can secure the data security of the in-vehicle computer system 1002 connected to the CAN 1030 via the CAN interface 16-1. Communication with the apparatus 1010 and the ECU 1020 can be performed. By enabling communication between the diagnostic application 50, the data security device 1010, and the ECU 1020, the in-vehicle diagnostic tool can perform various maintenance operations of the automobile 1001. This is a normal usage pattern of the in-vehicle diagnostic tool.

一方、図5において、通信制御部34は、通信許可対象情報に基づいて、他のアプリケーション、例えば車両制御アプリケーション54間の通信経路B1と、診断アプリケーション50間の通信経路B3とを接続しない。これにより、診断アプリケーション50と車両制御アプリケーション54との間の通信経路が確立されないので、診断アプリケーション50と車両制御アプリケーション54とは通信を行うことができない。このことは、もし車両制御アプリケーション54がコンピュータウィルスに感染していた場合に、コンピュータウィルスによる診断アプリケーション50への攻撃を防止する効果を奏する。   On the other hand, in FIG. 5, the communication control unit 34 does not connect the communication path B1 between other applications, for example, the vehicle control application 54 and the communication path B3 between the diagnostic applications 50 based on the communication permission target information. Thereby, since the communication path between the diagnostic application 50 and the vehicle control application 54 is not established, the diagnostic application 50 and the vehicle control application 54 cannot communicate. This has the effect of preventing the computer virus from attacking the diagnostic application 50 if the vehicle control application 54 is infected with a computer virus.

また、図5において、通信制御部34は、通信許可対象情報に基づいて、近距離無線通信インタフェース16−2間の通信経路B2と、診断アプリケーション50間の通信経路B3とを接続しない。これにより、診断アプリケーション50と近距離無線通信インタフェース16−2との間の通信経路が確立されないので、診断アプリケーション50と近距離無線通信方式の通信相手とは通信を行うことができない。このことは、近距離無線通信方式の通信相手からの診断アプリケーション50への不正なアクセスを防止する効果を奏する。   In FIG. 5, the communication control unit 34 does not connect the communication path B2 between the short-range wireless communication interfaces 16-2 and the communication path B3 between the diagnostic applications 50 based on the communication permission target information. As a result, the communication path between the diagnostic application 50 and the short-range wireless communication interface 16-2 is not established, so that the diagnostic application 50 and the communication partner of the short-range wireless communication method cannot communicate with each other. This has an effect of preventing unauthorized access to the diagnostic application 50 from a communication partner of the short-range wireless communication method.

なお、OS60がコンピュータウィルスに感染することを想定し、セキュアブート部14は、車載診断ツールが実施する自動車1001の各種の保守作業の対象のデバイスドライバ及びOS本体の機能を対象にして、セキュアブートを行うようにしてもよい。さらには、セキュアブート部14は、診断アプリケーション50をセキュアブートの対象に含めてもよい。   Assuming that the OS 60 is infected with a computer virus, the secure boot unit 14 secures the device driver and various functions of the OS main body for various maintenance work of the automobile 1001 performed by the in-vehicle diagnostic tool. May be performed. Furthermore, the secure boot unit 14 may include the diagnostic application 50 as a target for secure boot.

また、OS60の起動時間の制約が大きい場合には、OS60が起動した後に、デバイスドライバ、OS本体、アプリケーションのダイジェスト値を計算して所定の期待値との一致を検証してもよい。これにより、デバイスドライバ、OS本体、アプリケーションが改竄されていないかを確認することができる。ダイジェスト値として、例えばハッシュ(hash)値を計算してもよい。   Further, when the OS 60 startup time is largely limited, after the OS 60 starts up, the digest values of the device driver, the OS main body, and the application may be calculated to verify a match with a predetermined expected value. Thereby, it is possible to confirm whether the device driver, the OS main body, and the application are falsified. For example, a hash value may be calculated as the digest value.

実行制御部38は、セキュアブート部14のセキュアブートが成功した場合に診断アプリケーション50を起動し、該セキュアブートが失敗した場合には診断アプリケーション50を起動しないようにしてもよい。また、実行制御部38は、ユーザIDとパスワードを使用したユーザ認証が合格した場合に診断アプリケーション50を起動し、該ユーザ認証が不合格である場合には診断アプリケーション50を起動しないようにしてもよい。   The execution control unit 38 may start the diagnostic application 50 when the secure boot of the secure boot unit 14 is successful, and may not start the diagnostic application 50 when the secure boot fails. In addition, the execution control unit 38 activates the diagnostic application 50 when the user authentication using the user ID and the password passes, and does not activate the diagnostic application 50 when the user authentication fails. Good.

(制御方法の例2)
図6を参照して制御方法の例2を説明する。制御方法の例2は、サーバ装置2000の正規リモートサイト72と自動車1001のインフォテイメント機器1040の車載診断ツールとが連携して自動車1001の各種の保守作業を実施する場合の例である。図6において図5に対応する部分には同一の符号を付け、その説明を省略する。以下、図5の制御方法の例1と異なる部分を主に説明する。 (Example 2 of control method)
A control method example 2 will be described with reference to FIG. Example 2 of the control method is an example in the case where the regular remote site 72 of the server device 2000 and the in-vehicle diagnostic tool of the infotainment device 1040 of the automobile 1001 cooperate to perform various maintenance operations of the automobile 1001. In FIG. 6, parts corresponding to those in FIG. Hereinafter, a different part from Example 1 of the control method of FIG. 5 is mainly demonstrated.

図6において、インフォテイメント機器1040は、デバイス(物理層)として、タッチパネル18、CANインタフェース16−1、LTE(Long Term Evolution)インタフェース16−3などを備える。CANインタフェース16−1及びLTEインタフェース16−3は、インタフェース部16に含まれる。LTEインタフェース16−3は、LTEと呼ばれる無線通信方式の無線通信ネットワークを介して、自動車1001の外部の装置と通信を行う通信インタフェースである。OS60は、ファイルディスクリプタ68を備える。ファイルディスクリプタ68は、LTEインタフェース16−3を識別するための識別子である。デバイス識別部30は、ファイルディスクリプタ68により、LTEインタフェース16−3を識別する。   6, the infotainment device 1040 includes a touch panel 18, a CAN interface 16-1, an LTE (Long Term Evolution) interface 16-3, and the like as devices (physical layers). The CAN interface 16-1 and the LTE interface 16-3 are included in the interface unit 16. The LTE interface 16-3 is a communication interface that communicates with an external device of the automobile 1001 via a wireless communication network of a wireless communication method called LTE. The OS 60 includes a file descriptor 68. The file descriptor 68 is an identifier for identifying the LTE interface 16-3. The device identification unit 30 identifies the LTE interface 16-3 using the file descriptor 68.

図6において、診断アプリケーション50は、https(hypertext transfer protocol secure)通信機能を備える。診断アプリケーション50は、https通信機能により、正規リモートサイト72との間でhttps通信を行う。診断アプリケーション50と正規リモートサイト72との間の通信経路は、通信経路C1,C2及びC3から構成される。本実施形態では、暗号化通信路の一例として、https通信を行う。これにより、診断アプリケーション50と正規リモートサイト72との間の通信の安全性を高めることができる。   In FIG. 6, the diagnostic application 50 has an https (hypertext transfer protocol secure) communication function. The diagnostic application 50 performs https communication with the authorized remote site 72 using the https communication function. The communication path between the diagnostic application 50 and the authorized remote site 72 is composed of communication paths C1, C2, and C3. In the present embodiment, https communication is performed as an example of an encrypted communication path. Thereby, the safety | security of the communication between the diagnostic application 50 and the regular remote site 72 can be improved.

また、診断アプリケーション50は、正規リモートサイト72を認証する機能を備え、該認証が合格した場合にサイト接続を実行し、該認証が不合格である場合にはサイト接続を実行しない。これにより、診断アプリケーション50に対する不正サイトからの攻撃を防止することができる。   Further, the diagnostic application 50 has a function of authenticating the authorized remote site 72, and executes the site connection when the authentication passes, and does not execute the site connection when the authentication fails. Thereby, the attack from the unauthorized site with respect to the diagnostic application 50 can be prevented.

通信制御部34は、診断アプリケーション50がLTEインタフェース16−3を介して行う通信について、診断アプリケーション50から開始する通信の通信経路のみを確立させる。これにより、自動車1001の外部から診断アプリケーション50に対して不正にアクセスされることを防止することができる。このために、さらに、通信制御部34は、LTEインタフェース16−3を対象に、外部(無線通信ネットワーク側)から通信を受け付けるポート(port)を常時閉じるようにしてもよい。   The communication control unit 34 establishes only a communication path of communication started from the diagnostic application 50 for communication performed by the diagnostic application 50 via the LTE interface 16-3. As a result, unauthorized access to the diagnostic application 50 from outside the automobile 1001 can be prevented. For this purpose, the communication control unit 34 may always close a port for receiving communication from the outside (wireless communication network side) for the LTE interface 16-3.

実行制御部38は、インフォテイメント機器1040のタッチパネル18のタッチ操作に応じて、診断アプリケーション50の通信を開始させる制御を行う。例えば、実行制御部38は、タッチパネル18の表示画面に診断項目やECU1020のECUコード更新などの保守作業項目などを表示させ、タッチパネル18のタッチ操作により項目の承諾を受け付ける。これにより、実行制御部38は、車載診断ツールが正規リモートサイト72と連携して実施する自動車1001の保守作業の項目についての承諾を得てから、診断アプリケーション50のhttps通信を開始させる制御を行う。このことは、正規リモートサイト72から遠隔で自動車1001の保守作業を実施する場合に、該保守作業の安全性を保つことに寄与する効果を奏する。   The execution control unit 38 performs control for starting communication of the diagnostic application 50 in response to a touch operation on the touch panel 18 of the infotainment device 1040. For example, the execution control unit 38 displays diagnostic items, maintenance work items such as ECU code update of the ECU 1020 on the display screen of the touch panel 18, and accepts approval of the items by touch operation of the touch panel 18. As a result, the execution control unit 38 performs control for starting the https communication of the diagnostic application 50 after obtaining approval for the maintenance work item of the automobile 1001 that the in-vehicle diagnostic tool performs in cooperation with the authorized remote site 72. . This has the effect of contributing to maintaining the safety of the maintenance work when the maintenance work of the automobile 1001 is performed remotely from the regular remote site 72.

また、OS60は、iptables70を備え、iptables70を使用してルーティングフィルタリングを行ってもよい。iptables70は、診断アプリケーション50との通信を許可するIPアドレス、ポート番号などの一覧である。   The OS 60 may include iptables 70 and perform routing filtering using the iptables 70. The iptables 70 is a list of IP addresses, port numbers, and the like that permit communication with the diagnostic application 50.

また、OS60は、診断アプリケーション50に向かう通信(Inbound通信)を拒否するようにしてもよい。また、OS60は、診断アプリケーション50からLTEインタフェース16−3に向かう通信(Outbound通信)について、アプリケーション名、宛先IPアドレス、ポート番号などの情報に基づいて、正規リモートサイト72との通信のみに制限してもよい。   Further, the OS 60 may reject communication (inbound communication) toward the diagnostic application 50. Further, the OS 60 restricts communication (outbound communication) from the diagnostic application 50 to the LTE interface 16-3 to only communication with the authorized remote site 72 based on information such as an application name, a destination IP address, and a port number. May be.

次に、上述した図5及び図6の制御方法の変形例を説明する。   Next, a modification of the control method shown in FIGS. 5 and 6 will be described.

<制御方法の変形例>
制御方法の変形例では、車両情報取得部36が取得した車両情報に基づいて診断アプリケーション50の実行を制御する。車両情報は、自動車1001の状態を示す情報である。実行制御部38は、車両情報が示す自動車1001の状態が所定の実行条件を満たしている時に、診断アプリケーション50に自動車1001の保守に関する処理(以下、保守処理)を実行させる。保守処理は、予め定められている。保守処理は、例えば、自動車1001の診断処理やECU1020のECUコード更新処理などである。 <Modification of control method>
In the modification of the control method, the execution of the diagnostic application 50 is controlled based on the vehicle information acquired by the vehicle information acquisition unit 36. The vehicle information is information indicating the state of the automobile 1001. When the state of the automobile 1001 indicated by the vehicle information satisfies a predetermined execution condition, the execution control unit 38 causes the diagnosis application 50 to execute a process related to maintenance of the automobile 1001 (hereinafter, maintenance process). The maintenance process is predetermined. The maintenance process is, for example, a diagnosis process for the automobile 1001 or an ECU code update process for the ECU 1020.

実行制御部38は、車両情報取得部36が取得した車両情報に基づいて、保守処理を実行させるか否かを判断する。実行制御部38は、車両情報が示す自動車1001の状態が所定の実行条件を満たしている時に、診断アプリケーション50の保守処理を実行させる。実行制御部38は、車両情報が示す自動車1001の状態が該実行条件を満たしていない時には、診断アプリケーション50の保守処理を実行させない。   The execution control unit 38 determines whether or not to perform the maintenance process based on the vehicle information acquired by the vehicle information acquisition unit 36. The execution control unit 38 causes the maintenance process of the diagnostic application 50 to be executed when the state of the automobile 1001 indicated by the vehicle information satisfies a predetermined execution condition. The execution control unit 38 does not execute the maintenance process of the diagnostic application 50 when the state of the automobile 1001 indicated by the vehicle information does not satisfy the execution condition.

以下に実行条件の例を挙げる。以下の実行条件は単独又は複数の組合せで適用できる。   Examples of execution conditions are given below. The following execution conditions can be applied singly or in combination.

(実行条件の例1)実行条件は、自動車1001の走行モードが「パーキング(駐車)」であることである。自動車1001が走行中にECU1020のECUコードを更新することは好ましくない。このため、自動車1001が駐車している時にECU1020のECUコードを更新することは好ましい。 (Execution Condition Example 1) The execution condition is that the travel mode of the automobile 1001 is “parking”. It is not preferable to update the ECU code of the ECU 1020 while the automobile 1001 is traveling. For this reason, it is preferable to update the ECU code of the ECU 1020 when the automobile 1001 is parked.

(実行条件の例2)実行条件は、自動車1001のエンジンが始動していることである。自動車1001のエンジンが停止すると、インフォテイメント機器1040やECU1020、TCU1050などの車載装置への電力の供給が不安定になる可能性がある。このため、自動車1001のエンジンが始動している時にECU1020のECUコードを更新したり、自動車1001の診断を行ったりすることは好ましい。 (Execution condition example 2) The execution condition is that the engine of the automobile 1001 is started. When the engine of the automobile 1001 is stopped, the supply of electric power to in-vehicle devices such as the infotainment device 1040, the ECU 1020, and the TCU 1050 may become unstable. For this reason, it is preferable to update the ECU code of the ECU 1020 or to diagnose the automobile 1001 when the engine of the automobile 1001 is started.

(実行条件の例3)実行条件は、自動車1001のバッテリの残容量が、該残容量が十分にあると判定するための所定量を満たしていることである。この実行条件の例3は、自動車1001がエンジンと電気モータとを組み合わせたハイブリッドシステムを備える場合に好ましい。 (Execution condition example 3) The execution condition is that the remaining capacity of the battery of the automobile 1001 satisfies a predetermined amount for determining that the remaining capacity is sufficient. This execution condition example 3 is preferable when the automobile 1001 includes a hybrid system in which an engine and an electric motor are combined.

(実行条件の例4)実行条件は、自動車1001のイモビライザ(immobilizer)が自動車1001の車内に存在していることである。イモビライザが自動車1001の車内に存在している時は、保守作業者や自動車1001の利用者が自動車1001の車内又は自動車1001の傍に居ると考えられる。このため、イモビライザが自動車1001の車内に存在している時にECU1020のECUコードを更新することは好ましい。 (Execution Condition Example 4) The execution condition is that the immobilizer of the automobile 1001 exists in the automobile 1001. When the immobilizer is present in the car 1001, it is considered that a maintenance worker or a user of the car 1001 is in the car 1001 or near the car 1001. For this reason, it is preferable to update the ECU code of the ECU 1020 when the immobilizer is present in the vehicle 1001.

上述した実施形態によれば、診断アプリケーション50との通信が許可されたデバイスや他のアプリケーションとの間の通信のみが可能になるので、診断アプリケーション50に対する不正なアクセスや攻撃を防止することができる。これにより、診断アプリケーション50による自動車1001の各種の保守作業の信頼性を向上させることができるという効果が得られる。   According to the above-described embodiment, only communication with devices or other applications that are allowed to communicate with the diagnostic application 50 is possible, so that unauthorized access and attacks on the diagnostic application 50 can be prevented. . Thereby, the effect that the reliability of the various maintenance work of the motor vehicle 1001 by the diagnostic application 50 can be improved is acquired.

また、上述した実施形態によれば、診断アプリケーション50と自動車1001の外部との通信が正規リモートサイト72との通信に制限されるので、自動車1001の外部から診断アプリケーション50に対する不正なアクセスや攻撃を防止することができる。これにより、正規リモートサイト72による遠隔での自動車1001の各種の保守作業の信頼性を向上させることができるという効果が得られる。   Further, according to the above-described embodiment, since communication between the diagnostic application 50 and the outside of the automobile 1001 is limited to communication with the authorized remote site 72, unauthorized access or attack to the diagnostic application 50 from outside the automobile 1001 is prevented. Can be prevented. Thereby, the effect that the reliability of the various maintenance work of the motor vehicle 1001 by the regular remote site 72 can be improved is obtained.

また、上述した実施形態によれば、自動車1001が車載診断ツールを備えるので、診断ポート1060、例えばOBDポートを利用しなくても、自動車1001の各種の保守作業を実施することができる。   Further, according to the above-described embodiment, since the automobile 1001 includes the in-vehicle diagnostic tool, various maintenance operations of the automobile 1001 can be performed without using the diagnostic port 1060, for example, the OBD port.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.

上述した実施形態では、自動車1001に備わるインフォテイメント機器1040が車載診断ツール(診断アプリケーション50)及び制御装置1040aを備えたが、自動車1001において車載診断ツール(診断アプリケーション50)及び制御装置1040aをインフォテイメント機器1040以外の他の車載の情報処理装置に備えてもよく、又は、車載診断ツール(診断アプリケーション50)及び制御装置1040aを単独の車載の情報処理装置として自動車1001に備えてもよい。   In the embodiment described above, the infotainment device 1040 provided in the automobile 1001 includes the in-vehicle diagnostic tool (diagnostic application 50) and the control device 1040a. However, in the automobile 1001, the in-vehicle diagnostic tool (diagnostic application 50) and the control device 1040a are infotained. An in-vehicle information processing apparatus other than the device 1040 may be included, or the in-vehicle diagnosis tool (diagnostic application 50) and the control device 1040a may be included in the automobile 1001 as a single in-vehicle information processing apparatus.

上述した実施形態では、データ保安装置1010やECU1020にHSMやSHEを使用したが、HSM及びSHE以外の暗号処理チップを使用してもよい。データ保安装置1010に対して、例えば「TPM(Trusted Platform Module)f」と呼ばれる暗号処理チップを使用してもよい。TPMfは耐タンパー性を有する。TPMfはセキュアエレメントの例である。ECU1020に対して、例えば「TPMt」と呼ばれる暗号処理チップを使用してもよい。TPMtは耐タンパー性を有する。TPMtはセキュアエレメントの例である。   In the above-described embodiment, HSM and SHE are used for the data security device 1010 and the ECU 1020, but cryptographic processing chips other than HSM and SHE may be used. For the data security device 1010, for example, a cryptographic processing chip called “TPM (Trusted Platform Module) f” may be used. TPMf has tamper resistance. TPMf is an example of a secure element. For the ECU 1020, for example, a cryptographic processing chip called “TPMt” may be used. TPMt has tamper resistance. TPMt is an example of a secure element.

上述した実施形態は、自動車の製造工場において、自動車の製造工程で自動車の各種の保守作業に適用してもよい。また、上述した実施形態は、自動車の整備工場や販売店等において、自動車の各種の保守作業に適用してもよい。   The above-described embodiments may be applied to various types of maintenance work for automobiles in the automobile manufacturing process in an automobile manufacturing factory. In addition, the above-described embodiment may be applied to various types of maintenance work for automobiles at automobile maintenance factories, sales outlets, and the like.

上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。   In the above-described embodiment, an automobile is taken as an example of the vehicle, but the present invention can also be applied to vehicles other than automobiles such as a motorbike and a railway vehicle.

また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 In addition, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

10…CPU、12…記憶部、14…セキュアブート部、16…インタフェース部、16−1…CANインタフェース、16−2…近距離無線通信インタフェース、16−3…LTEインタフェース、18…タッチパネル、20…マイクロフォン、22…スピーカ、30…デバイス識別部、32…アプリケーション識別部、34…通信制御部、36…車両情報取得部、38…実行制御部、50…診断アプリケーション、60…OS、72…正規リモートサイト、1001…自動車、1002…車載コンピュータシステム、1010…データ保安装置、1011,1021…メイン演算器、1012…HSM、1013,1023…記憶部、1020…ECU、1022…SHE、1030…CAN、1040…インフォテイメント機器、1040a…制御装置、1050…TCU、1051…通信モジュール、1052…SIM、1060…診断ポート、1070…ゲートウェイ、2000…サーバ装置、2100…メンテナンスツール DESCRIPTION OF SYMBOLS 10 ... CPU, 12 ... Storage part, 14 ... Secure boot part, 16 ... Interface part, 16-1 ... CAN interface, 16-2 ... Near field communication interface, 16-3 ... LTE interface, 18 ... Touch panel, 20 ... Microphone, 22 ... speaker, 30 ... device identification unit, 32 ... application identification unit, 34 ... communication control unit, 36 ... vehicle information acquisition unit, 38 ... execution control unit, 50 ... diagnostic application, 60 ... OS, 72 ... regular remote Site, 1001 ... Automobile, 1002 ... In-vehicle computer system, 1010 ... Data security device, 1011,1021 ... Main arithmetic unit, 1012 ... HSM, 1013,1023 ... Storage unit, 1020 ... ECU, 1022 ... SHE, 1030 ... CAN, 1040 ... infotainment equipment, 10 0a ... controller, 1050 ... TCU, 1051 ... communication module, 1052 ... SIM, 1060 ... diagnostic port, 1070 ... Gateway, 2000 ... server, 2100 ... maintenance tool

Claims (7)

車両に搭載される情報処理装置との間でアクセスを行うデバイスを前記情報処理装置のオペレーティングシステムのファイル記述子により識別するデバイス識別部と、
前記情報処理装置が現在実行しているアプリケーションを前記オペレーティングシステムに問い合わせて識別するアプリケーション識別部と、
前記デバイス識別部の識別結果及び前記アプリケーション識別部の識別結果に基づいて、前記車両の保守に関する処理を実行する第1アプリケーションの通信を対象に、前記第1アプリケーションとの通信が許可された特定の前記デバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と前記第1アプリケーションとの間の通信経路のみを確立させる通信制御部と、
を備える制御装置。 A device identification unit for identifying a device that accesses an information processing apparatus mounted on a vehicle by a file descriptor of an operating system of the information processing apparatus;
An application identification unit that identifies the application currently being executed by the information processing apparatus by querying the operating system;
Based on the identification result of the device identification unit and the identification result of the application identification unit, the communication with the first application is permitted for communication of the first application that executes processing related to maintenance of the vehicle. A communication control unit that establishes only a communication path between the device or the second application or both of the device and the second application and the first application;
A control device comprising: 一の前記デバイスは前記車両の外部の装置と通信を行う通信デバイスであり、
前記通信制御部は、前記第1アプリケーションが前記通信デバイスを介して行う通信について、前記第1アプリケーションから開始する通信の通信経路のみを確立させる、
請求項1に記載の制御装置。 The one device is a communication device that communicates with an apparatus outside the vehicle,
The communication control unit establishes only a communication path of communication started from the first application for communication performed by the first application via the communication device.
The control device according to claim 1. 前記情報処理装置への利用者の操作に応じて前記第1アプリケーションの通信を開始させる制御を行う実行制御部をさらに備える、
請求項2に記載の制御装置。 An execution control unit that performs control to start communication of the first application in response to a user operation on the information processing apparatus;
The control device according to claim 2. 前記車両の状態を示す車両情報を取得する車両情報取得部をさらに備え、
前記実行制御部は、前記車両情報に基づいて前記第1アプリケーションの実行を制御する、
請求項1から3のいずれか1項に記載の制御装置。 A vehicle information acquisition unit that acquires vehicle information indicating a state of the vehicle;
The execution control unit controls execution of the first application based on the vehicle information.
The control device according to any one of claims 1 to 3. 前記車両は自動車であり、
前記実行制御部は、前記車両情報が示す前記車両の状態が所定の実行条件を満たしている時に、前記第1アプリケーションに前記自動車の保守に関する処理を実行させ、
前記実行条件は、前記自動車の走行モードが「パーキング(駐車)」であること、前記自動車のエンジンが始動していること、前記自動車のバッテリの残容量が所定量を満たしていること、又は、前記自動車のイモビライザが前記自動車の車内に存在していることのうち、いずれか一つ又は複数の組合せである、
請求項4に記載の制御装置。 The vehicle is an automobile;
The execution control unit causes the first application to execute a process related to maintenance of the automobile when a state of the vehicle indicated by the vehicle information satisfies a predetermined execution condition.
The execution condition is that the driving mode of the automobile is “parking”, the engine of the automobile is started, the remaining capacity of the battery of the automobile satisfies a predetermined amount, or The immobilizer of the automobile is present in the vehicle of the automobile, and any one or a combination thereof.
The control device according to claim 4. 制御装置が、車両に搭載される情報処理装置との間でアクセスを行うデバイスを前記情報処理装置のオペレーティングシステムのファイル記述子により識別するデバイス識別ステップと、
前記制御装置が、前記情報処理装置が現在実行しているアプリケーションを前記オペレーティングシステムに問い合わせて識別するアプリケーション識別ステップと、
前記制御装置が、前記デバイス識別ステップの識別結果及び前記アプリケーション識別ステップの識別結果に基づいて、前記車両の保守に関する処理を実行する第1アプリケーションの通信を対象に、前記第1アプリケーションとの通信が許可された特定の前記デバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と前記第1アプリケーションとの間の通信経路のみを確立させる通信制御ステップと、
を含む制御方法。 A device identifying step in which a control device identifies a device that accesses an information processing device mounted on a vehicle by a file descriptor of an operating system of the information processing device;
An application identifying step in which the control device inquires the operating system to identify an application currently being executed by the information processing device;
Communication with the first application is performed for communication of the first application in which the control device executes processing related to maintenance of the vehicle based on the identification result of the device identification step and the identification result of the application identification step. A communication control step for establishing only a communication path between the authorized specific device or the second application or both of the device and the second application and the first application;
Control method. コンピュータに、
車両に搭載される情報処理装置との間でアクセスを行うデバイスを前記情報処理装置のオペレーティングシステムのファイル記述子により識別するデバイス識別機能と、
前記情報処理装置が現在実行しているアプリケーションを前記オペレーティングシステムに問い合わせて識別するアプリケーション識別機能と、
前記デバイス識別機能の識別結果及び前記アプリケーション識別機能の識別結果に基づいて、前記車両の保守に関する処理を実行する第1アプリケーションの通信を対象に、前記第1アプリケーションとの通信が許可された特定の前記デバイス若しくは第2アプリケーション又は該デバイス及び該第2アプリケーションの両方と前記第1アプリケーションとの間の通信経路のみを確立させる通信制御機能と、
を実現させるためのコンピュータプログラム。 On the computer,
A device identification function for identifying a device that accesses an information processing apparatus mounted on a vehicle by a file descriptor of an operating system of the information processing apparatus;
An application identification function that identifies the application currently being executed by the information processing apparatus by querying the operating system;
Based on the identification result of the device identification function and the identification result of the application identification function, the communication with the first application is permitted for communication of the first application that performs processing related to maintenance of the vehicle. A communication control function for establishing only a communication path between the device or the second application or both of the device and the second application and the first application;
Computer program for realizing.
JP2016195975A 2016-10-03 2016-10-03 Control device, control method, and computer program Active JP6140874B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016195975A JP6140874B1 (en) 2016-10-03 2016-10-03 Control device, control method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016195975A JP6140874B1 (en) 2016-10-03 2016-10-03 Control device, control method, and computer program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017090773A Division JP6470344B2 (en) 2017-04-28 2017-04-28 Control device, control method, and computer program

Publications (2)

Publication Number Publication Date
JP6140874B1 true JP6140874B1 (en) 2017-05-31
JP2018060295A JP2018060295A (en) 2018-04-12

Family

ID=58794381

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016195975A Active JP6140874B1 (en) 2016-10-03 2016-10-03 Control device, control method, and computer program

Country Status (1)

Country Link
JP (1) JP6140874B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019012888A1 (en) * 2017-07-12 2019-01-17 住友電気工業株式会社 Vehicle-mounted device, management method, and management program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7137949B2 (en) * 2018-03-27 2022-09-15 サミー株式会社 pachinko machine

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010002814A1 (en) * 1999-12-07 2001-06-07 Takeshi Suganuma Control information rewriting system
JP2008500610A (en) * 2004-04-29 2008-01-10 セルポート システムズ インコーポレイテッド Method and apparatus for enabling discovery and use of services by client devices
JP2012190152A (en) * 2011-03-09 2012-10-04 Denso Corp In-vehicle information notification device
WO2012160814A1 (en) * 2011-05-24 2012-11-29 日本電気株式会社 Information processing system, access rights management method, information processing device, and control method and control program therefor
WO2015011807A1 (en) * 2013-07-24 2015-01-29 富士通株式会社 Display system, method, and program
JP2016072675A (en) * 2014-09-26 2016-05-09 Kddi株式会社 Management device, vehicle, management method and computer program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010002814A1 (en) * 1999-12-07 2001-06-07 Takeshi Suganuma Control information rewriting system
JP2008500610A (en) * 2004-04-29 2008-01-10 セルポート システムズ インコーポレイテッド Method and apparatus for enabling discovery and use of services by client devices
JP2012190152A (en) * 2011-03-09 2012-10-04 Denso Corp In-vehicle information notification device
WO2012160814A1 (en) * 2011-05-24 2012-11-29 日本電気株式会社 Information processing system, access rights management method, information processing device, and control method and control program therefor
WO2015011807A1 (en) * 2013-07-24 2015-01-29 富士通株式会社 Display system, method, and program
JP2016072675A (en) * 2014-09-26 2016-05-09 Kddi株式会社 Management device, vehicle, management method and computer program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
後藤 大地: "UNIXコマンド、fork、pipeを復習し、高度なスクリプティングへ シェルスクリプティング道場 ", SOFTWAREDESIGN, vol. 発刊268号, JPN6017011682, 18 February 2013 (2013-02-18), JP, pages p.38−43 *
竹森 敬祐 ほか: "セキュアエレメントを活用したECU認証とコード認証の鍵管理", 電子情報通信学会技術研究報告, vol. Vol. 115, No. 366, JPN6016046623, 10 December 2015 (2015-12-10), JP, pages pp. 227-232 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019012888A1 (en) * 2017-07-12 2019-01-17 住友電気工業株式会社 Vehicle-mounted device, management method, and management program
JP2019021973A (en) * 2017-07-12 2019-02-07 住友電気工業株式会社 On-vehicle device, management method, and management program
CN110892683A (en) * 2017-07-12 2020-03-17 住友电气工业株式会社 In-vehicle device, management method, and management program
US11938897B2 (en) 2017-07-12 2024-03-26 Sumitomo Electric Industries, Ltd. On-vehicle device, management method, and management program

Also Published As

Publication number Publication date
JP2018060295A (en) 2018-04-12

Similar Documents

Publication Publication Date Title
CN107528821B (en) System and method for data update of telematics control unit
US9767627B2 (en) Method and apparatus for providing vehicle security
US10602360B2 (en) Secure mobile device integration with vehicles
EP3403246B1 (en) A device and method for collecting user-based insurance data in vehicles
JP6228093B2 (en) system
US10027672B2 (en) Access restriction device, on-board communication system and method for communication restriction
JP5395036B2 (en) In-vehicle network system
JP6190443B2 (en) In-vehicle computer system, vehicle, management method, and computer program
JP6327344B2 (en) Network system, communication control method, and storage medium
EP3167436B1 (en) Method and apparatus for providing vehicle security
JP6260068B1 (en) Maintenance device, maintenance method, and computer program
JP2019036091A (en) Vehicle security system and vehicle security method
CN112513844A (en) Secure element for processing and authenticating digital keys and method of operation thereof
JP6140874B1 (en) Control device, control method, and computer program
JP2013009370A (en) Secure data store for vehicle networks
JP6470344B2 (en) Control device, control method, and computer program
JP6299039B2 (en) Vehicle information collection system, data security device, vehicle information collection method, and computer program
JP2018006782A (en) Data providing system, data providing apparatus, on-vehicle computer, data providing method, and computer program
US11263848B2 (en) Temporary and customized vehicle access
JP2018042256A (en) System and management method
JP2020086540A (en) Maintenance server device, vehicle maintenance system, computer program and vehicle maintenance method
JP6640128B2 (en) Control system and control method
JP2018050334A (en) Data provision system, data provision device, on-vehicle computer, data provision method, and computer program
JP6132955B1 (en) Verification system, verification device, verification method, and computer program
JP2018057044A (en) Vehicle information gathering system, data safety device, vehicle information gathering device, vehicle information gathering method, and computer program

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170501

R150 Certificate of patent or registration of utility model

Ref document number: 6140874

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150