JP6461272B1 - Control device - Google Patents
Control device Download PDFInfo
- Publication number
- JP6461272B1 JP6461272B1 JP2017189513A JP2017189513A JP6461272B1 JP 6461272 B1 JP6461272 B1 JP 6461272B1 JP 2017189513 A JP2017189513 A JP 2017189513A JP 2017189513 A JP2017189513 A JP 2017189513A JP 6461272 B1 JP6461272 B1 JP 6461272B1
- Authority
- JP
- Japan
- Prior art keywords
- state information
- storage area
- control device
- control
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 claims abstract description 38
- 230000004913 activation Effects 0.000 claims abstract description 27
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 6
- 238000000034 method Methods 0.000 abstract description 56
- 238000012545 processing Methods 0.000 description 19
- 238000012790 confirmation Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000007420 reactivation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Abstract
【課題】決められた条件下では、起動の度に実施するセキュアブート処理を無くすことで安全を確保しつつ高速に起動できる制御装置を得る。【解決手段】制御に関わる状態情報を入手する状態情報入手手段112、制御データを格納する第一記憶領域120、状態情報を格納する第二記憶領域121、第一記憶領域のデータから生成された期待値を格納する第三記憶領域122、第一記憶領域のデータから検証値を生成する検証値生成手段114、期待値と検証値から制御手段110を実施するかを判定する第一の判定手段115、状態情報から第一の判定手段を実施するかを判定する第二の判定手段116を備え、制御手段を停止する際に、状態情報を入手して第二の記憶領域に格納し、制御手段の起動前に、再び状態情報を入手し、第二の判定手段は、停止時の状態情報と起動時の状態情報から第一の判定手段を実施するかを判定する。【選択図】図1A control device capable of starting up at high speed while ensuring safety is obtained by eliminating a secure boot process that is performed every time it is started up under a predetermined condition. A state information obtaining unit for obtaining state information related to control, a first storage area for storing control data, a second storage area for storing state information, and data generated from the data in the first storage area. A third storage area 122 for storing the expected value, a verification value generating means 114 for generating a verification value from the data in the first storage area, and a first determination means for determining whether to execute the control means 110 from the expected value and the verification value 115. A second determination unit 116 for determining whether to execute the first determination unit from the state information is provided. When the control unit is stopped, the state information is obtained and stored in the second storage area. Prior to activation of the means, the state information is obtained again, and the second determination means determines whether or not the first determination means is to be executed from the state information at the time of stop and the state information at the time of activation. [Selection] Figure 1
Description
この発明は、セキュリティに対する安全を確保しつつ、高速に起動できる制御装置に関するものである。 The present invention relates to a control device that can be activated at high speed while ensuring security.
車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数搭載されており、ECUは他のECUや車両外の通信機器と通信によって接続されるため、不正に侵入される恐れがある。不正に侵入されると、ECUのプログラムデータが改ざんされ、遠隔操作される可能性がある。 A plurality of control devices called ECUs (Electronic Control Units) are mounted on the vehicle, and the ECU is connected to other ECUs or communication devices outside the vehicle by communication, and thus may be intruded illegally. If unauthorized entry occurs, the program data of the ECU may be altered and remotely operated.
ECUのデータ改ざんへの対策の一つとして、セキュアブートが知られている。セキュアブートは、暗号技術を用いて事前にデータから作成しておいた期待値と、データからその時点で作成した検証値との完全性を検証し、データの改ざんを検知する技術である。ECUの制御に関する処理が起動する前にECUが前回終了時からデータが改ざんされていないか検証することにより、制御を正常な状態で起動できるか判断することができる。 Secure boot is known as one of countermeasures against data alteration of the ECU. Secure boot is a technique for detecting the alteration of data by verifying the completeness of an expected value created from data in advance using a cryptographic technique and a verification value created at that time from the data. Before the process related to the control of the ECU is started, it can be determined whether the control can be started in a normal state by verifying whether the data has been tampered with since the end of the previous time.
一方で、ECUは起動時間の制約が厳しく、セキュアブートの処理時間はECUの起動時間の制約(制御が開始するまでの要求時間)内に収めなければならない。そのため、ECUを安全に起動するためには、セキュアブート処理時間の短縮化が求められる。 On the other hand, the ECU has a severe restriction on the activation time, and the secure boot processing time must be within the restriction on the activation time of the ECU (the required time until the control starts). Therefore, in order to start the ECU safely, it is required to shorten the secure boot processing time.
特許文献1では、上記の課題を解決するために、保存しておいたプログラムリストを参照して、対象のプログラムまたはデータが、検証が必要なプログラムまたはデータであるか否かを判定し、検証が必要なプログラムまたはデータである場合に、対象のプログラムまたはデータの検証を実施することで、検証範囲を最小限に留め、セキュアブート処理を高速に安全に起動することができる。 In Patent Document 1, in order to solve the above problem, it is determined whether or not the target program or data is a program or data that needs to be verified by referring to the stored program list. If the target program or data is necessary, the verification of the target program or data can be performed to minimize the verification range, and the secure boot process can be started safely at high speed.
しかしながら、特許文献1の技術を適用すると、次のような課題がある。セキュアブートにおいて、検証範囲を最小限に留めたところで、起動の度にセキュアブート処理が実施されるため、処理時間がかかり、セキュアブートを実施しない場合に比べて処理時間が増加してしまう。 However, when the technique of Patent Document 1 is applied, there are the following problems. In the secure boot, when the verification range is kept to a minimum, the secure boot process is performed every time the boot is performed. Therefore, the processing time is increased, and the processing time is increased as compared with the case where the secure boot is not performed.
この発明は、上記のような課題を解決するためになされたものであり、決められた条件下では、起動の度に実施するセキュアブート処理を無くすことで、セキュアブート処理が実施されない通常起動時間に近いECUの起動時間にした制御装置を得ることを目的とするものである。 The present invention has been made to solve the above-described problems. Under the predetermined conditions, the normal boot time in which the secure boot process is not performed by eliminating the secure boot process performed every time the boot is performed. An object of the present invention is to obtain a control device having an ECU startup time close to.
この発明の制御装置は、制御対象を制御する制御手段と、制御手段の起動を制御する制御起動手段と、制御に関わる状態情報を入手する状態情報入手手段と、制御手段が制御に必要とするデータを格納する第一の記憶領域と、状態情報入手手段が入手した状態情報を格納する第二の記憶領域と、第一の記憶領域のデータから生成された期待値を格納する第三の記憶領域と、第一の記憶領域のデータから検証値を生成する検証値生成手段と、第三の記憶領域に格納される期待値と検証値生成手段による検証値から制御手段を実施するかを判定する第一の判定手段と、一つ以上の状態情報から第一の判定手段を実施するかを判定する第二の判定手段とを備え、制御手段を停止する際に、状態情報入手手段から状態情報を入手して第二の記憶領域に格納し、制御手段の起動前に、再び状態情報を入手し、第二の判定手段は、停止時の状態情報と起動時の状態情報から第一の判定手段を実施するかどうかを判定するものである。 The control device according to the present invention requires a control means for controlling a control target, a control activation means for controlling activation of the control means, a status information obtaining means for obtaining status information related to the control, and the control means required for control. A first storage area for storing data, a second storage area for storing state information obtained by the state information obtaining means, and a third storage for storing an expected value generated from the data in the first storage area A verification value generating means for generating a verification value from the data in the area, the first storage area, and an expected value stored in the third storage area and the verification value by the verification value generation means determining whether to execute the control means And a second determination unit for determining whether to implement the first determination unit from one or more pieces of state information, and when the control unit is stopped, the state information is acquired from the state information acquisition unit. Get the information in the second storage area The state information is obtained again before starting the control means, and the second determination means determines whether or not to implement the first determination means from the stop state information and the start state information. It is.
この発明によれば、制御装置の起動時に行われるセキュアブートの処理時間を特定の条件下では検証を実施しないことで、制御装置の起動時間をセキュアブート処理が実施されない通常起動時間と同等にすることができるため、安全かつ高速にECUを起動させることができる。 According to the present invention, the secure boot processing time performed at the time of starting the control device is not verified under specific conditions, so that the control device boot time is made equal to the normal boot time when the secure boot processing is not performed. Therefore, the ECU can be activated safely and at high speed.
以下、この発明の制御装置を各実施の形態に従って図面を用いて説明する。なお、各実施の形態において、同一もしくは相当部分は同一符号で示し、重複する説明は省略する。 The control device of the present invention will be described below with reference to the drawings according to each embodiment. In each embodiment, the same or corresponding parts are denoted by the same reference numerals, and redundant description is omitted.
実施の形態1.
図1はこの発明の実施の形態1に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。ここで、車両制御システムはモータ制御装置100と制御対象となる駆動用モータ101で構成するものとする。車両制御システムには、図1に示す以外の構成物も備えているが、この実施の形態1に直接関係しないものについては図示を省略している。
Embodiment 1 FIG.
FIG. 1 shows the configuration of a vehicle control system that implements a start-up method that enables safe and fast start-up as an example of a control apparatus according to Embodiment 1 of the present invention. Here, the vehicle control system includes a motor control device 100 and a
モータ制御装置100は、駆動用モータ101に接続され、これを制御する。モータ制御装置100の構成と機能について簡単に説明する。制御手段110は、駆動用モータ101の制御に関わる制御量や各種処理値を演算する。停止手段111は、モータ制御装置100への電源の供給を停止することで動作を終了させる。状態情報入手手段112は、モータ制御装置100自体がもつ制御に関わる状態を示す状態情報のデータを収集する。ここでは、カウント手段117がカウントするカウント値を収集する。制御起動手段113は、第一の判定手段115と第二の判定手段116の結果に基づき、制御手段110を起動させる。
The motor control device 100 is connected to the
検証値生成手段114は、第一の記憶領域120に格納されているデータから検証値を生成する。第一の判定手段115は、第三の記憶領域122に格納される期待値と検証値生成手段114による検証値から制御手段110を実施するか否かを判定する。第二の判定手段116は、第二の記憶領域121に格納されている状態情報(カウント値)と、状態情報入手手段112が入手した状態情報(カウント値)とを比較し、比較結果が所定の範囲内に収まっているかにより、第一の判定手段115を実施するか否かを判定する。カウント手段117は、モータ制御装置100が起動するたびに保有するカウンタ値をインクリメントする。
The verification
ここでは、モータ制御装置100は、車両のIG(イグニッション)スイッチの状態に応じて電源が供給されたり、制御装置がリセットされたりすれば起動するものとする。起動モード確認手段118は、起動時に要求される起動モードを確認する。ここでは、起動モードとして、駆動用モータ101の制御をおこなう制御モードと、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードが用意される。書き換えモードへの要求は制御装置の外部からテスター等が接続されたときに実施される。記憶領域書き換え手段119は、第一の記憶領域120と第三の記憶領域122の格納データを実際に書き換える手段となる。
Here, the motor control device 100 is activated when power is supplied or the control device is reset according to the state of an IG (ignition) switch of the vehicle. The activation
次に第一の記憶領域120は、制御手段110が制御に必要とするデータを格納する。第二の記憶領域121は、状態情報入手手段112が入手した状態情報を格納する。第三の記憶領域122は、第一の記憶領域120に格納するデータからあらかじめ生成しておいた期待値を格納する。これらの記憶領域はデバイスごと分けることが望ましいが、一つのデバイス上で別領域として定義してもよい。
Next, the
次に、実施の形態1に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図2および図3のフローチャートを用いて説明する。図2の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときの最後の処理として実行される。図3の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。 Next, the flow of processing when the motor control device 100 of the vehicle control system according to Embodiment 1 is stopped and started will be described using the flowcharts of FIGS. 2 and 3, respectively. The process at the time of stopping in FIG. 2 is executed as the last process when the motor control device 100 is stopped with the detection that the IG switch in the vehicle is turned off as a trigger. The process at the time of startup in FIG. 3 is first executed when the motor control device 100 is started by being supplied with power or reset, for example, when an IG switch in the vehicle is turned on.
まず、モータ制御装置100の停止時の処理について図2を用いて説明する。
図2において、ステップS201は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS202へ進み、制御が終了していない場合(No)は、終了まで待機する。続いて、ステップS202において、状態情報入手手段112が、カウント手段117が保有するカウント値を状態情報として収集する。ステップS203において、状態情報入手手段112は、収集したカウント値を第二の記憶領域121に格納を試みる。続いて、ステップS204において、格納が完了していれば(Yes)、ステップS205へ進み、格納が完了していない場合(No)は、ステップS203へ戻る。
ステップS205において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
First, processing when the motor control device 100 is stopped will be described with reference to FIG.
In FIG. 2, step S201 confirms whether the control means 110 has stopped the process regarding motor control. If the control is finished (Yes), the process proceeds to step S202. If the control is not finished (No), the process waits until the end. Subsequently, in step S202, the state
In step S <b> 205, the
次に、モータ制御装置100の起動時の処理について図3を用いて説明する。
図3において、ステップS301は、カウント手段117は自信が保有するカウント値を更新する。ここでは保有しているカウント値を+1とする。
ステップS302において、起動モード確認手段118が起動モードを確認する。駆動用モータ101の制御をおこなう制御モードであれば、ステップS303へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS310へ進む。
Next, the process at the time of starting the motor control apparatus 100 will be described with reference to FIG.
In FIG. 3, in step S301, the counting means 117 updates the count value held by the confidence. Here, the held count value is +1.
In step S302, the activation
ステップS303において、状態情報入手手段112は、カウント手段117が保有するカウント値を状態情報として収集する。続いて、ステップS304において、カウント値の収集が完了していれば(Yes)、ステップS305へ進み、カウント値の収集が完了していない場合(No)は、完了まで待機する。
ステップS305において、第二の判定手段116が、第二の記憶領域121に格納されているカウント値と、ステップS202で状態情報入手手段112が入手したカウント値とを比較する。続いて、ステップS306において、カウント値の比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS311へ進み、範囲に入っていない場合(No)は、ステップS307へ進む。
In step S303, the state
In step S305, the
ステップS307において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS308において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS307で生成した検証値を比較判定する。
続いて、ステップS309において、期待値と検証値の比較結果が同じであれば(Yes)、ステップS311へ進み、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS307、ステップS308、ステップS309がセキュアブート処理として処理時間を要する部分となる。
In step S <b> 307, the verification
Subsequently, in step S309, if the comparison result between the expected value and the verification value is the same (Yes), the process proceeds to step S311. If the comparison result is different (No), the process ends without performing the
ステップS310において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、記憶領域書き換え手段119に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS311において、制御起動手段113は制御手段110を起動させる。
In step S <b> 310, the storage
In step S311, the
以上のように、図1の構成で、モータ制御装置100は、停止時に図2に示すフローに従って、状態情報として自身が持つカウンタ値を格納しておく。その後、モータ制御装置100を起動するときには、図3に示すフローに従って、格納しておいたカウンタ値と、再度収集したカウンタ値との差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、モータ制御装置100を終了してから本起動までに一度も起動されていないと判断し、処理時間が発生する検証値作成(ステップS307)、第一の判定手段の実施(ステップS308)、判定結果の確認(ステップS309)を実施せずに制御手段110を起動させることができる。
As described above, with the configuration of FIG. 1, the motor control device 100 stores the counter value held by itself as state information in accordance with the flow shown in FIG. 2 when stopped. Thereafter, when the motor control device 100 is started, it is checked whether the difference between the stored counter value and the collected counter value is within a predetermined range according to the flow shown in FIG. When the motor control device 100 is entered, it is determined that the motor control device 100 has not been started up until the main start-up, and a verification value generation (step S307) in which processing time occurs is performed. In step S308), the
このような車両制御システムによれば、モータ制御装置100の停止時の状態情報と、起動時の状態情報の比較によって、停止中に書き換えの為等で起動されていないことや、意図せず起動されていないことが確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。 According to such a vehicle control system, by comparing the state information at the time of stopping the motor control device 100 with the state information at the time of starting, it is not started for rewriting or the like during the stop, or unintentionally starting If it can be confirmed that the verification process is not performed, the verification process at the time of activation is omitted, so that the control device can be activated at high speed while ensuring security.
なお、実施の形態1において、状態情報をカウンタ値として説明したがこれに限るものではない。モータ制御装置100が保有するバックアップ用に保有する電池の電圧値などのアナログ値を用いても、ステップS306で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないこと、短時間での再起動であることを検出し、起動時の検証処理を割愛するので、安全かつ高速に制御装置を起動することができる。 In the first embodiment, the state information is described as the counter value, but the present invention is not limited to this. Even if an analog value such as a voltage value of a battery held for backup owned by the motor control device 100 is used, it is not unintentionally started during the stop by appropriately determining the verification range used in step S306. Since it is detected that the reactivation is performed in a short time and the verification process at the time of activation is omitted, the control device can be activated safely and at high speed.
また、状態情報は、第二の記憶領域121に格納するときに暗号化し、状態情報を比較するときに復号化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
Further, if the state information is encrypted when stored in the
実施の形態2.
次にこの発明の実施の形態2に係る制御装置を図4から図6に基づいて説明する。
図4はこの発明の実施の形態2に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。実施の形態2に係る車両制御システムは、上記実施の形態1で記したモータ制御装置100と駆動用モータ101で構成される車両制御システムに加えて、ドア制御装置410を含んで構成される。
なお、図4において、各制御装置100、410は、図4に示す以外の構成物も備えているが、実施の形態2に直接関係しないものについては図示を省略し、図1に示す実施の形態1において説明したものについては、同じ符号を付して説明を省略する。
Embodiment 2. FIG.
Next, a control device according to Embodiment 2 of the present invention will be described with reference to FIGS.
FIG. 4 shows the configuration of a vehicle control system in which an activation method that enables safe and high-speed activation is implemented as an example of a control device according to Embodiment 2 of the present invention. The vehicle control system according to the second embodiment includes a
In FIG. 4, each
実施の形態2に係る車両制御システムにおいては、モータ制御装置100とドア制御装置410は、車両の通信線としてCAN(Controller Area Network)ネットワーク400を介して互いに通信可能に接続されている。
まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信手段401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。
In the vehicle control system according to the second embodiment, the motor control device 100 and the
First, the added configuration and function of the motor control device 100 according to the second embodiment will be briefly described. The data transmission / reception means 401 transmits / receives data to / from the connected
ドア制御装置410は、車両のドアモジュール411に接続され、ドアのロック/アンロックを制御する。ドア制御装置410の構成と機能について簡単に説明する。第二の制御手段420は、ドアモジュール411に関わる制御を実施する。記憶領域421は、第二の制御手段420が制御に必要とするデータを格納する。状態検出手段422は、ドアに関する状態情報として、ここでは運転席のドア開閉回数を収集する。ただし、状態情報は、これに限るものではない。第二のデータ送受信手段423は、CANネットワーク400を介して接続されたモータ制御装置100のデータ送受信手段401とデータを送受信する。
The
次に、実施の形態2に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図5および図6のフローチャートを用いて説明する。図5の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときに最後の処理として実行される。図6の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。 Next, the flow of processing when the motor control device 100 of the vehicle control system according to Embodiment 2 is stopped and started will be described using the flowcharts of FIGS. 5 and 6 respectively. The process at the time of stopping in FIG. 5 is executed as the last process when the motor control device 100 is stopped by using, for example, detection that the IG switch in the vehicle is turned off as a trigger. The process at the time of startup in FIG. 6 is first executed when power is supplied to the motor control device 100 or the motor is started after being reset, triggered by turning on an IG switch in the vehicle.
まず、モータ制御装置100の停止時の処理について図5を用いて説明する。
図5において、ステップS501は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS502へ進み、制御が終了していない場合(No)は、終了まで待機する。
続いて、ステップS502において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS503において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS504へ進み、受信が完了していない場合(No)は、受信まで待機する。
First, processing when the motor control device 100 is stopped will be described with reference to FIG.
In FIG. 5, step S501 confirms whether the control means 110 has stopped the process which concerns on motor control. If the control is finished (Yes), the process proceeds to step S502. If the control is not finished (No), the process waits until the end.
Subsequently, in step S <b> 502, the state
ステップS504において、状態情報入手手段112は、受信し、収集したドア開閉回数を第二の記憶領域121に格納を試みる。続いて、ステップS505において、格納が完了していれば、ステップS506へ進み、格納が完了していない場合は、ステップS504へ戻る。
ステップS506において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
In step S <b> 504, the state
In step S <b> 506, the
次に、モータ制御装置100の起動時の処理について図6を用いて説明する。
図6において、ステップS601は、モータ制御装置100が、データ送受信手段401を起動させる。ステップS602において、起動モード確認手段118が、起動モードを確認する。起動モードが駆動用モータ101の制御をおこなう制御モードであれば、ステップS603へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS610へ進む。
Next, processing when the motor control device 100 is started will be described with reference to FIG.
In FIG. 6, in step S <b> 601, the motor control device 100 activates the data transmission /
ステップS603において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS604において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS605へ進み、受信が完了していない場合(No)は、受信まで待機する。
ステップS605において、第二の判定手段116が、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手手段112が入手したドア開閉回数とを比較する。続いて、ステップS606において、比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS611へ進み、範囲に入っていない場合(No)は、ステップS607へ進む。
In step S <b> 603, the state
In step S605, the
ステップS607において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS608において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS607で生成した検証値を比較判定する。
続いて、ステップS609において、比較結果が同じであれば(Yes)、ステップS611へ、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS607、ステップS608,ステップS609がセキュアブート処理として処理時間を要する部分となる。
In step S <b> 607, the verification
Subsequently, in step S609, if the comparison result is the same (Yes), the process ends without executing the control means 110 if the comparison result is different (No) to step S611. Note that step S607, step S608, and step S609 are portions that require processing time as secure boot processing.
ステップS610において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、書き換え手段に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS611において、制御起動手段113は、制御手段110を起動させる。
In step S <b> 610, the storage
In step S611, the
以上のように、図4の構成で、モータ制御装置100は、停止時に、図5に示すフローに従って、状態情報として、ドア制御装置410から受信したドア開閉回数を格納しておく。その後、モータ制御装置100を起動するときには、図6に示すフローに従って、格納しておいたア開閉回数と再度ドア制御装置410から受信したドア開閉回数とを比較し、値の差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、制御装置を終了してから本起動までに誰も車両に入っていない(制御装置にアクセスしていない)と判断し、処理時間が発生する検証値作成(ステップS607)、第一の判定手段の実施(ステップS608)、判定結果の確認(ステップS609)を実施せずに制御手段110を起動させることができる。
As described above, with the configuration of FIG. 4, the motor control device 100 stores the number of times the door is opened and closed received from the
このような車両制御システムによれば、停止時の状態情報と、起動時の状態情報を比較によって停止中に書き換えの為に起動されていないことや、意図せず起動されていないことを確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。 According to such a vehicle control system, if it can be confirmed that it has not been started for rewriting during the stop or that it has not been started unintentionally by comparing the state information at the time of stop with the state information at the time of start. Since the verification process at the time of activation is omitted, the control device can be activated at a high speed while ensuring security.
なお、実施の形態2において、状態情報をドア制御装置410が持つドアの開閉回数として説明したがこれに限るものではない。他の制御装置が持つ車両にアクセスを示せる状態情報を用いて、ステップS606で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないことを検出し起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。また他の制御装置が持つ時間情報などを用いて、ステップS606で用いる検証時の範囲を適切に定めることで短時間での再起動であることを検出し、その場合には、セキュリティに対する安全を確保されているとみなし起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。
In the second embodiment, the state information is described as the number of times the
また、状態情報は、第二の記憶領域121に格納するときに、暗号化し、状態情報を比較するときに複合化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
さらに、状態情報を送受するときに暗号化し、受信後に複合化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。
In addition, if the state information is encrypted when stored in the
Further, by encrypting the state information when it is transmitted and received and decrypting it after reception, the possibility that the state information is falsified on the
In the second embodiment, the
以上、この発明の実施の形態を記述したが、この発明は実施の形態に限定されるものではなく、種々の設計変更を行うことが可能であり、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。 Although the embodiments of the present invention have been described above, the present invention is not limited to the embodiments, and various design changes can be made. Within the scope of the present invention, each embodiment is described. These embodiments can be freely combined, and each embodiment can be modified or omitted as appropriate.
この発明は、車両制御システムのモータ制御装置として利用できる他、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証手段としてどのような制御装置にも利用することができる。 The present invention can be used not only as a motor control device for a vehicle control system, but also for any control device as a means for verifying a storage area at startup as long as the system includes a control device controlled by an ECU. it can.
100:モータ制御装置、101:駆動用モータ、110:制御手段、111:停止手段、112:状態情報入手手段、113:制御起動手段、114:検証値生成手段、115:第一の判定手段、116:第二の判定手段、117:カウント手段、118:起動モード確認手段、119:記憶領域書き換え手段、120:第一の記憶領域、121:第二の記憶領域、122:第三の記憶領域、400:CANネットワーク、401:データ送受信手段、410:ドア制御装置、411:ドアモジュール、420:第二の制御手段、421:記憶領域、422:状態検出手段、423:第二のデータ送受信手段。 DESCRIPTION OF SYMBOLS 100: Motor control apparatus, 101: Driving motor, 110: Control means, 111: Stop means, 112: Status information acquisition means, 113: Control starting means, 114: Verification value generation means, 115: First determination means, 116: second determination means, 117: counting means, 118: activation mode confirmation means, 119: storage area rewriting means, 120: first storage area, 121: second storage area, 122: third storage area 400: CAN network 401: Data transmission / reception means 410: Door control device 411: Door module 420: Second control means 421: Storage area 422: State detection means 423: Second data transmission / reception means .
Claims (4)
前記制御手段を停止する際に、前記状態情報入手手段から状態情報を入手して前記第二の記憶領域に格納し、前記制御手段の起動前に、再び状態情報を入手し、前記第二の判定手段は、停止時の前記状態情報と起動時の前記状態情報から前記第一の判定手段を実施するかどうかを判定することを特徴とする制御装置。 Control means for controlling the controlled object; control activation means for controlling activation of the control means; status information obtaining means for obtaining status information related to control; and data for storing data required for control by the control means. One storage area, a second storage area for storing the state information obtained by the state information obtaining means, a third storage area for storing an expected value generated from the data in the first storage area, A verification value generating means for generating a verification value from the data in the first storage area; and whether to execute the control means from the expected value stored in the third storage area and the verification value by the verification value generation means A first determination means for determining, and a second determination means for determining whether to implement the first determination means from one or more state information,
When stopping the control means, the state information is obtained from the state information obtaining means and stored in the second storage area, and the state information is obtained again before the control means is activated, The determination means determines whether or not to implement the first determination means from the state information at the time of stop and the state information at the time of activation.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017189513A JP6461272B1 (en) | 2017-09-29 | 2017-09-29 | Control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017189513A JP6461272B1 (en) | 2017-09-29 | 2017-09-29 | Control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6461272B1 true JP6461272B1 (en) | 2019-01-30 |
JP2019066984A JP2019066984A (en) | 2019-04-25 |
Family
ID=65228933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017189513A Active JP6461272B1 (en) | 2017-09-29 | 2017-09-29 | Control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6461272B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6800276B2 (en) * | 2019-05-14 | 2020-12-16 | 三菱電機株式会社 | Control device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009013831A1 (en) * | 2007-07-26 | 2009-01-29 | Panasonic Corporation | Information processing terminal and falsification verification method |
JP2017156945A (en) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | Information processor and control method |
-
2017
- 2017-09-29 JP JP2017189513A patent/JP6461272B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009013831A1 (en) * | 2007-07-26 | 2009-01-29 | Panasonic Corporation | Information processing terminal and falsification verification method |
JP2017156945A (en) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | Information processor and control method |
Also Published As
Publication number | Publication date |
---|---|
JP2019066984A (en) | 2019-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108536118B (en) | Vehicle ECU, system and method for ECU to provide diagnostic information | |
JP5065387B2 (en) | Control method for mass-market vehicles using a common transmitter | |
CN103685214B (en) | Safety access method for vehicle electronic control unit | |
CN104426669B (en) | Method for the protected transmission of data | |
WO2016023558A1 (en) | Method for operating a door lock by encrypted wireless signals | |
CN111480141A (en) | Method and device for updating software of a motor vehicle control device | |
EP2811686B1 (en) | Portable device registration system and portable device registration method | |
KR102368606B1 (en) | In-vehicle apparatus for efficient reprogramming and method for controlling there of | |
JP6659180B2 (en) | Control device and control method | |
CN108482308B (en) | Electric vehicle safety control method and device, storage medium and electric vehicle | |
US9893886B2 (en) | Communication device | |
CN101855111B (en) | Method of unlocking an engine control computer | |
JP5437958B2 (en) | Vehicle electronic key system | |
CN108944784A (en) | The authentication method and system of engine anti-theft unit | |
JP2019071572A (en) | Control apparatus and control method | |
JP6461272B1 (en) | Control device | |
CN109416711B (en) | Method for the safety verification of a control device in a motor vehicle | |
JP6274849B2 (en) | Vehicle control system | |
JP6639615B1 (en) | Control device | |
US10789365B2 (en) | Control device and control method | |
US11537717B2 (en) | Information processing apparatus | |
EP1785339B1 (en) | System for controlling the tilting function of a cab of a motor vehicle preventing unauthorized cab-tilt operations, a motor vehicle comprising such system, a corresponding method of controlling a cab tilting function and a computer program and a computer readable medium therefore | |
JP5350120B2 (en) | Steering lock system | |
JP3630433B2 (en) | Mobility prohibition device with short unlock time | |
JP2020088458A (en) | Information processing apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181225 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6461272 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |