JP6731892B2 - 車載メモリの改竄検知装置 - Google Patents

車載メモリの改竄検知装置 Download PDF

Info

Publication number
JP6731892B2
JP6731892B2 JP2017146053A JP2017146053A JP6731892B2 JP 6731892 B2 JP6731892 B2 JP 6731892B2 JP 2017146053 A JP2017146053 A JP 2017146053A JP 2017146053 A JP2017146053 A JP 2017146053A JP 6731892 B2 JP6731892 B2 JP 6731892B2
Authority
JP
Japan
Prior art keywords
control device
rewriting
control system
information
vehicle control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017146053A
Other languages
English (en)
Other versions
JP2019028634A (ja
Inventor
良和 石井
良和 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2017146053A priority Critical patent/JP6731892B2/ja
Publication of JP2019028634A publication Critical patent/JP2019028634A/ja
Application granted granted Critical
Publication of JP6731892B2 publication Critical patent/JP6731892B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明は、車載メモリの改竄検知装置に関する。
従来、車載通信ネットワークでは、自動車に搭載された制御用コンピュータ(車両用制御装置)であるECU(Electronic Control Unit)に記録された、制御対象を制御するためのソフトウェアの書換えを行なっている(例えば、特開2016−167113号公報参照)。
特開2016−167113号公報には、制御対象を制御するためのソフトウェアを記録する書換え可能に設定された記録領域と、前記ソフトウェアを書換えるための書換えプログラムを記録する書き換え不可能に設定された記録領域と、前記書換えプログラムの実行を行うCPUと、を有する車載用制御ユニットが記載されている。
特開2016−167113号公報
ソフトウェアの不正な書換え対策として、特開2016−167113号公報に開示される技術のように、書換えた痕跡を残す方法がある。特開2016−167113号公報に開示される技術では、不正なユーザが書換えた痕跡を消去しようとしている場合、記憶場所を特定される恐れがある。
一方、エンジン制御装置などの車両用制御装置は、様々な車両用装置を制御している。例えば、エンジン制御装置は、アクセルセンサから出力された信号に基づいて目標スロットル開度を演算し、実スロットル開度が目標スロットル開度になるようにスロットルモータを制御する。車両用制御装置による制御は、車両の走行に影響を与えるため、制御プログラムなどの不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが要請される。
本発明の目的は、装置を追加せずに不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが可能な車両制御システムを提供することにある。
本発明は上記の目的を達成するために、車両制御システムにおいて、互いに接続される複数の制御装置と、前記複数の制御装置を互いに接続する複数の通信ネットワークと、前記複数の制御装置の内、少なくとも一つ以上の制御装置が、前記通信ネットワーク同士のデータを中継するゲートウェイ機能と、を備え、いずれかの前記制御装置の不揮発性メモリが書換えられる際に、書換え情報を、前記ゲートウェイ機能を有する前記制御装置から選択された、書換え対象ではない前記制御装置の不揮発性メモリに記憶する、ことを特徴とする。
本発明によれば、装置を追加せずに不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが可能な車両制御システムを提供することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明の第1の実施形態によるエンジン制御装置、ハイブリッド制御装置、モータ制御装置、書換えツールを含む車両制御システムの構成を示すブロック図。 本発明の第1の実施形態によるエンジン制御装置、ハイブリッド制御装置、モータ制御装置、書換えツールの構成を示すブロック図。 本発明の第1の実施形態によるハイブリッド制御装置の処理のフローチャートの例を示す図。 本発明の第1の実施形態によるエンジン制御装置の処理のフローチャートの例を示す図。 本発明の第1の実施形態によるモータ制御装置の処理のフローチャートの例を示す図。
以下、図面を用いて本発明の第1の実施形態によるハイブリッド制御装置及びエンジン制御装置及びモータ制御装置の構成及び動作を説明する。
最初に、図1を用いて、車両制御システムのハードウェア構成を説明する。図1は、本発明の第1の実施形態によるエンジン制御装置6、ハイブリッド制御装置10、モータ制御装置8、書換えツール21を含む車両制御システムの構成を示すブロック図である。
本実施形態の車両制御システム300は、燃料の燃焼によってトルクを発生するエンジン1と、クラッチ機構2と、車輪3aの駆動軸3bに連結するモータ3と、モータ3を駆動するインバータ(電力変換装置)4と、バッテリ5と、アクセル開度を検出するアクセルセンサ11と、スロットル開度を検出するスロットルセンサ12と、スロットルモータ(スロットル装置)13と、インジェクター(燃料噴射装置)14と、点火装置15と、ブレーキ16と、ステアリング19と、エアバッグ20と、エンジン制御装置6と、クラッチ制御装置7と、モータ制御装置8と、バッテリ制御装置9と、電動パワーステアリング17と、エアバッグ制御装置18と、が搭載されて構成される。エンジン制御装置6は、スロットルセンサ12による検出結果であるスロットル開度を入力し、スロットルモータ13、インジェクター14および点火装置15を制御する。クラッチ制御装置7はクラッチ機構2を制御する。モータ制御装置8はインバータ4を制御することによってモータ3を制御する。バッテリ制御装置9はバッテリ5を制御する。電動パワーステアリング17は制御装置であってステアリング19を制御する。エアバッグ制御装置18はエアバッグ20を制御する。書換えツール21は、外部接続する装置であり、例えば、車室内にあるDLC(Data Link Connector)に接続することで、各制御装置と通信する事が可能である。
さらに、車両制御システム300には、上述の各制御装置6〜9、17および18に対して、指令を出すハイブリッド制御装置10が搭載される。各制御装置6〜10、17および18は、それぞれが不図示のCPU(Central Processing Unit)やRAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable Read Only Memory)等を備えて構成され、予め定めた制御プログラムにしたがって信号処理を行う。
また、各制御装置6〜10、17および18は、互いに、通信線100および/または通信線200を介して種々の情報を送受信する。通信線100および通信線200は、多重通信線であり、CAN(Controller Area Network)プロトコルに基づくネットワークを構成する。通信線100および通信線200は、多重通信線に限られるものではない。
通信線100は、主にハイブリッド制御に関わる制御装置を繋いでいるCANであり、例えば、ハイブリッド制御装置10、エンジン制御装置6、クラッチ制御装置7、モータ制御装置8、バッテリ制御装置9などが繋がっている。ハイブリッド制御とは、例えば、所定の燃費や運転性を実現するために、トルク配分を決定、指令することである。
通信線200は、車両制御に関わる制御装置を繋いでいるCANであり、例えば、ハイブリッド制御装置10、電動パワーステアリング17、エアバッグ制御装置18などが繋がっている。車両制御とは、例えば、ステアリングの制御である。
ハイブリッド制御装置10は、通信線100および通信線200の2本の、目的が異なる通信線に繋がっている。
ハイブリッド制御装置10は、所定の信号を異なる通信線へ転送するゲートウェイ機能を有する。例えば、書換えツール21からエンジン制御装置6へROMの書換え要求信号を送信する場合、ハイブリッド制御装置10が当該要求信号を転送する。これにより、通信線200に接続された書換えツール21から、通信線100に接続されたエンジン制御装置6へ所定の信号を送信する事が可能となる。
エンジン制御装置6は、スロットルセンサ12からのスロットル開度などの入力に基づき、スロットルモータ13、インジェクター14、点火装置15を制御する。具体的には、目標スロットル開度や燃料噴射量、点火時期などが制御されることにより、運転状態に応じてエンジン1の出力が制御される。
モータ3は、モータ(電動機)あるいはジェネレータ(発電機)として機能する。具体的には、モータ3は、加速時にはハイブリッド制御装置10からの信号に基づいてモータ(電動機)として機能し、制動時にはジェネレータ(発電機)として機能してバッテリ5に回生電力を供給し蓄電する。
すなわち、インバータ4は、モータ制御装置8からの指令に基づきバッテリ5からの直流電力を交流電力に変換し、力行時に交流電力をモータ3に供給する。交流電力によりモータ3の固定子に回転磁界が形成され、モータ3の回転子が回転する。また、インバータ4は、回生時に、モータ制御装置8からの指令に基づきモータ3で発電された交流電力を直流電力に変換し、直流電力をバッテリ5に供給する。この直流電力によりバッテリ5が充電される。
なお、バッテリ5に蓄積された電気エネルギは、モータ3用の電力として用いられるほか、不図示のDC−DCコンバータなどを介してエアコンなどの補機類の電力としても用いられる。
書換えツール21は、各制御装置6〜10、17および18が備えたROM等の内部データを書換える事が可能である。例えば、制御プログラムを書換える(リプログラミング)事が可能である。
次に、図2を用いて、本発明をハイブリッド制御装置10、エンジン制御装置6、モータ制御装置8、書換えツール21に適用した場合の構成の一例を説明する。図2は、本発明の第1の実施形態によるハイブリッド制御装置10、エンジン制御装置6、モータ制御装置8、書換えツール21の構成を示すブロック図である。
ハイブリッド制御装置10と書換えツール21はCAN通信で通信線200を介して接続されている。ハイブリッド制御装置10、エンジン制御装置6、モータ制御装置8はCAN通信で通信線100を介して接続されている。
ハイブリッド制御装置10は、受信部30と、ゲートウェイ機能部31と、選択部32と、送信部33と、を備えて構成される。
受信部30は、ハイブリッド制御装置10の外部からの値を入力としており、通信線200による値を受信する。外部からの入力値は、例えば、制御装置のROMの書換え要求などである。すなわち、受信部30は、書換えツール21から送信された値を、受信する。
ゲートウェイ機能部31は、受信部30で受信した値を入力としてゲートウェイ処理を行なう。受信した値が、ハイブリッド制御装置10以外の制御装置が受信すべき値であった場合に、受信すべき制御装置へ送信するために転送を行なう。
選択部32は、受信部30で受信した値が、ハイブリッド制御装置10以外の制御装置のROMの書換え要求であった場合に(すなわち、ゲートウェイ機能部31が、ハイブリッド制御装置ではない制御装置のROMの書換え要求を転送した場合に)、書換え情報の記憶先を選択し、当該記憶先へ、書換え情報の記憶要求を送信する。選択対象は、ROMの書換え対象である制御装置を除いた、ハイブリッド制御装置10が通信可能な制御装置からランダムに選択する。受信部30で受信した値が、ハイブリッド制御装置ではない制御装置のROMの書換え要求でなかった場合は、何もしない。
送信部33は、通信線100に対する送信部として機能する。ゲートウェイ機能部31から出力される、ハイブリッド制御装置10以外の制御装置が受信すべき値、IDなどを含むCANフレームを、通信線100を介してハイブリッド制御装置10の外部へ送信する。また、選択部32から出力される、書換え情報の記憶要求を入力とし、ID、書換え情報の記憶要求などを含むCANフレームを、通信線100を介してハイブリッド制御装置10の外部へ送信する。
なお、CAN通信では、2本の通信線の電圧差により通信を行うため、外部ノイズの影響を受けにくい。
エンジン制御装置6は、受信部34と、書換え制御部35と、ROM36と、を備えて構成される。
受信部34は、通信線100に対する受信部として機能する。エンジン制御装置6の外部からの値を入力としており、通信線100による値を受信する。すなわち、受信部34は、ハイブリッド制御装置10の送信部33から送信された値を、受信する。
書換え制御部35は、受信部34で受信した値を入力として、エンジン制御装置6のROM書換え処理を行なう。受信した値が、エンジン制御装置6のROMの書換え要求だった場合、ROM36の書換えを行なう。受信した値が、書換え情報の記憶要求だった場合、ROM36の、例えば所定領域内のいずれかに、書換え情報を記憶する。
ROM36は不揮発性メモリであり、エンジン制御に関わる制御プログラムや適合パラメータなどが記憶されている。
モータ制御装置8は、受信部37と、書換え制御部38と、ROM39と、を備えて構成される。
受信部37は、通信線100に対する受信部として機能する。モータ制御装置8の外部からの値を入力としており、通信線100による値を受信する。すなわち、受信部37は、ハイブリッド制御装置10の送信部33から送信された値を、受信する。
書換え制御部38は、受信部37で受信した値を入力として、モータ制御装置8のROM書換え処理を行なう。受信した値が、モータ制御装置8のROMの書換え要求だった場合、ROM39の書換えを行なう。受信した値が、書換え情報の記憶要求だった場合、ROM39の、例えば所定領域内のいずれかに、書換え情報を記憶する。
ROM39は不揮発性メモリであり、モータ制御に関わる制御プログラムや適合パラメータなどが記憶されている。
次に、図3を用いて、ハイブリッド制御装置10の動作を説明する。図3は、本発明の第1の実施形態によるハイブリッド制御装置10の処理を示すフローチャートの例である。
ステップS10では、受信部30は、書換えツール21からの値を入力とし、受信処理を行なう。
ステップS11では、受信部30で受信した値が、ハイブリッド制御装置10以外の制御装置が受信すべき値か、ゲートウェイ機能部31が判定する。ハイブリッド制御装置10以外の制御装置が受信すべき値かが真の場合は、ステップS12に処理を進める。偽の場合は、ステップS10の前に処理を戻す。
ステップS12では、受信部30で受信した値を、受信すべき制御装置へ転送する。例えば、受信した値が、エンジン制御装置6が受信すべき制御装置であった場合、受信した値を、送信部33から、エンジン制御装置6の受信部34へ、通信線100を介して送信する。
ステップS13では、受信部30で受信した値が、ハイブリッド制御装置10以外の制御装置に備えられたROMの書換え要求か、選択部32が判定する。ハイブリッド制御装置10以外の制御装置に備えられたROMの書換え要求かが真の場合は、ステップS14に処理を進める。偽の場合は、ステップS14を行なわずに進める。例えば、受信した値が、エンジン制御装置6に備えられたROM36の書換え要求であった場合、真と判定し、ステップS14に処理を進める。
ステップS14では、書換え情報の記憶先をランダムに選択し、当該記憶先へ、書換え情報の記憶要求を送信する。選択対象は、ROMの書換え対象である制御装置を除いた、ハイブリッド制御装置10が通信可能な制御装置からランダムに選択する。例えば、ROMの書換え対象がエンジン制御装置6であった場合、書換え情報の記憶先の対象は、エンジン制御装置6以外の制御装置から選択され、例えばモータ制御装置8である。
ここで、書換え情報とは、書換えた事実(痕跡)を残すための情報であり、例えば、書換えを実施した日時、GPS(Global Positioning System)から取得した位置情報、書込むデータの情報(例えば書込もうとしているプログラムバージョン名)などを含んだ情報である。
書換え情報は、暗号化して記憶してもよい。例えば、プログラムバージョンからハッシュ値を計算し、ハッシュ値を暗号化して記憶しておき、復号化はディーラーなど正規のユーザのみが可能とすることで、正規のユーザがプログラムバージョンを確認可能となり、行なわれた書換えが正規か不正かを判別する事が可能となる。これにより、改竄の検出可能性を向上出来る。また、暗号化する事で、不正なユーザが書換え情報を記憶した制御装置を特定出来たとしても、書換え情報を特定して消す事がより困難となり、不正改竄の抑止力を向上できる。
なお、必ずしも実行したROMの書換えと一意に結び付けられる情報でなくともよく、例えば、1bitの情報だけでもよく、ROMを書換える前は所定の領域を0にしておき、ROMの書換えを行なったら書換え情報として1を書込んでもよい。この場合、書換え情報の演算処理が簡易なものとなり、演算負荷の増加を抑えつつ不正改竄を検知可能となる。
次に、図4を用いて、エンジン制御装置6の動作を説明する。図4は、本発明の第1の実施形態によるエンジン制御装置6の処理を示すフローチャートの例である。
ステップS20では、受信部34は、ハイブリッド制御装置10の送信部33から受信値を受信する。
ステップS21では、受信部34で受信した値が、エンジン制御装置6のROM36の書換え要求か、書換え制御部35が判定する。エンジン制御装置6のROM36の書換え要求かが真の場合は、ステップS22に処理を進める。偽の場合は、ステップS23に処理を進める。
ステップS22では、書換え制御部35が、ROM36の、書換え情報以外のデータ書換えを行なう。例えば、エンジン制御に関わる制御プログラムの書換えや、適合パラメータの書換えを行なう。適合パラメータとは、例えば車速制限値である。
ステップS23では、受信部34で受信した値が、書換え情報の記憶要求か、書換え制御部35が判定する。書換え情報の記憶要求かが真の場合は、ステップS24に処理を進める。偽の場合は、ステップS24を行なわずに進める。
ステップS24では、書換え制御部35が、ROM36に書換え情報を記憶する。
次に、図5を用いて、モータ制御装置8の動作を説明する。図5は、本発明の第1の実施形態によるモータ制御装置8の処理を示すフローチャートの例である。
ステップS30では、受信部37は、ハイブリッド制御装置10の送信部33から受信値を受信する。
ステップS31では、受信部37で受信した値が、モータ制御装置8のROM39の書換え要求か、書換え制御部38が判定する。モータ制御装置8のROM39の書換え要求かが真の場合は、ステップS32に処理を進める。偽の場合は、ステップS33に処理を進める。
ステップS32では、書換え制御部38が、ROM39の、書換え情報以外のデータ書換えを行なう。例えば、モータ制御に関わる制御プログラムの書換えや、適合パラメータの書換えを行なう。
ステップS33では、受信部37で受信した値が、書換え情報の記憶要求か、書換え制御部38が判定する。書換え情報の記憶要求かが真の場合は、ステップS34に処理を進める。偽の場合は、ステップS34を行なわずに進める。
ステップS34では、書換え制御部38が、ROM39に書換え情報を記憶する。
上記の方法により、制御装置のROMの書換えを実行した場合に、書換え対象ではない制御装置からランダムに選択した制御装置のROMに書換え情報を記憶することで、改竄した事実を残す事が可能となる。さらに、ランダムに選択することで、書換え情報を記憶した場所を見つけにくくさせ、改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上できる。例えば、正規の書換えツールが流出し、不正なユーザがROMの書換えを実行した場合に、書換え情報がどの制御装置に記憶されたかが不正なユーザには容易に見つけられなくなるため、不正なユーザがROMの書換えを実行した事実の隠蔽のために書換え情報を消去することがより困難となり、不正改竄の抑止力が向上する。
上記実施形態では、通信ネットワークが2つある(通信線100および通信線200の2つ)例を説明したが、これに限定せず、通信ネットワークが3つ以上の構成に本発明を適用してもよい。なお、3つ以上の通信ネットワークを備える構成においては、ROMの書換えを実行する制御装置と、書換え情報を記憶する制御装置が、同一の通信ネットワーク内になくてもよい。
上記実施形態では、制御装置がCAN通信を行う例を説明したが、これに限定せず、制御装置が例えば、LIN(Local Interconnect Network)、FlexRay、MOST(Media Oriented Systems Transport)、PLC(Power Line Communication)、Ethernetなどの如何なるプロトコルで通信を行うものであってもよいし、複数の制御装置のそれぞれが異なるプロトコルで通信を行う構成に本発明を適用してもよい。
上記実施形態では、制御装置が有線の例を説明したが、これに限定せず、制御装置が無線である構成やOTA(Over The Air)に本発明を適用してもよい。例えば、無線通信によって、定期的(週に1回など)に改竄有無を調査してもよい。
以上説明したように、本実施形態によれば、書換え情報を記憶する制御装置を特定しないことで、不正なユーザが、書換えた痕跡の記憶場所を特定しにくく出来る。
(第1の変形例)
書換え情報の記憶先の対象は、ゲートウェイ機能を有する制御装置自身でもよい。例えば、図2の例では、ハイブリッド制御装置10自身に書換え情報を記憶してもよい。
言い換えると、書き換え情報を、ゲートウェイ機能を有する制御装置の不揮発性メモリに記憶する。
本変形例によれば、書換え情報の記憶先の選択肢を広げることが可能となる。これにより、書換え情報を記憶した場所をより見つけにくくさせ、改竄した事実を容易に消せなくすることで、不正改竄の抑止力が向上する。
(第2の変形例)
書換え情報の記憶先に選択する制御装置は、複数でもよい。例えば、図1の例では、エンジン制御装置6のROMを書換えた場合、書換え情報の記憶先は、モータ制御装置8およびバッテリ制御装置9のROMでもよい。その場合、書換え情報の内容は同一でもよいし、制御装置毎に異なる内容としてもよい。同一の場合、改竄有無の判定を、「全てのデータが同一か」で判定してもよい。異なる内容の場合、1つの情報を分割したデータを各制御装置に記憶してもよい。例えば、書換えた場所の位置情報を含む書換え情報(例えば16バイトデータ)を、モータ制御装置8に上位8バイト、バッテリ制御装置9に下位8バイト記憶するようにしてもよい。ディーラーなどの正規ユーザが読み出す場合、分割したデータを統合して読み出すようにすることで、書換え情報の内容を把握出来るようにしてもよい。
言い換えると、いずれかの制御装置の不揮発性メモリが書き換えられる際に、ゲートウェイ機能を有する制御装置が複数の制御装置を選択することを特徴とする。
また、書き換え情報が、選択された複数の制御装置ごとに異なることを特徴とする。
そして、書き換え情報を、制御装置の不揮発性メモリに記憶する際に、不揮発性メモリ内のあらかじめ定められた記憶領域内のいずれかに記憶することを特徴とする。
本変形例によれば、書換え情報の記憶先の量を増やすことが可能となる。これにより、書換え情報の消去を試みる不正ユーザの労力が増し、改竄した事実を容易に消せなくすることで、不正改竄の抑止力が向上する。
(第3の変形例)
書換え情報の記憶先はROM内の領域の内、固定としてもよい。例えば、あらかじめROMの特定のアドレスに書換え情報を書込むようにしてもよい。なお、「所定領域内のいずれか」と「固定」を選択出来るようにしてもよい。例えば、正規ユーザが不正改竄の抑止力を重視する場合は「所定領域内のいずれか」とし、利便性を重視する場合は「固定」と選択出来るように、カーメーカー側で設定してもよい。
まとめると、書き換え情報を、制御装置の不揮発性メモリに記憶する際に、不揮発性メモリ内の所定の記憶領域の内、あらかじめ定められた固定場所に記憶することを特徴とする。
書換え情報を、制御装置の不揮発性メモリに記憶する際に、不揮発性メモリ内の予め定められた記憶領域内のいずれかに記憶する、あるいは不揮発性メモリ内の所定の記憶領域の内、あらかじめ定められた固定場所に記憶することを可能とし、「あらかじめ定められた記憶領域内のいずれか」あるいは「あらかじめ定められた固定場所」のいずれかを選択可能とすることを特徴とする。
本変形例によれば、ディーラーなどの正規ユーザによる書換え情報の確認工数を低減することが可能となる。これにより、正規ユーザの利便性が向上する。
(第4の変形例)
書換え情報の記憶先を、ゲートウェイ機能を有する制御装置に、暗号化して記憶させてもよい。例えば、図2の例では、書換え情報の記憶先にモータ制御装置8を選択した場合に、ハイブリッド制御装置10が備えるROMに、モータ制御装置8を一意に特定出来るIDを暗号化して記憶させてもよい。
本変形例によれば、ディーラーなどの正規ユーザによる書換え情報の確認工数を低減することが可能となる。これにより、正規ユーザの利便性が向上する。
なお、上記第1の実施形態では、ハイブリッド制御装置10、エンジン制御装置6およびモータ制御装置8との間の通信の例を説明したが、他の制御装置、例えば、クラッチ制御装置7、バッテリ制御装置9、電動パワーステアリング17などの通信に適用してもよい。
上記をまとめると、書換え情報の記憶先である、ゲートウェイ機能を有する制御装置が選択した制御装置を識別可能な情報をゲートウェイ機能を有する制御装置に記憶することを特徴とする。
書換え情報は、書換えを実施した日時、位置情報、あるいはプログラムバージョン名を含むことを特徴とする。
書換え情報は1bitの情報であることを特徴とする。
また、書換え情報は、暗号化して記憶することを特徴とする。
なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、本発明は、搭載車両の種類に限定されるものではなく、例えば、自動運転機能や自動駐車機能を有する車両に搭載されていてもよい。
また、上記の各構成、機能、処理部等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
1…エンジン、2…クラッチ機構、3…モータ、4…インバータ(電力変換装置)、5…バッテリ、6…エンジン制御装置、7…クラッチ制御装置、8…モータ制御装置、9…バッテリ制御装置、10…ハイブリッド制御装置、11…アクセルセンサ、12…スロットルセンサ、13…スロットルモータ(スロットル装置)、14…インジェクター(燃料噴射装置)、15…点火装置、16…ブレーキ、17…電動パワーステアリング、18…エアバッグ制御装置、19…ステアリング、20…エアバッグ、21…書換えツール、30…受信部、31…ゲートウェイ機能部、32…選択部、33…送信部、34…受信部、35…書換え制御部、36…ROM、37…受信部、38…書換え制御部、39…ROM、100…通信線、200…通信線、300…車両制御システム。

Claims (11)

  1. 互いに接続される複数の制御装置と、
    前記複数の制御装置を互いに接続する複数の通信ネットワークと、
    前記複数の制御装置の内、少なくとも一つ以上の制御装置が、前記通信ネットワーク同士のデータを中継するゲートウェイ機能と、を備え、
    いずれかの前記制御装置の不揮発性メモリが書換えられる際に、
    前記ゲートウェイ機能を有する前記制御装置から選択された、書換え対象ではない前記制御装置の不揮発性メモリに書換え情報を記憶する、ことを特徴とする車両制御システム。
  2. 請求項1に記載の車両制御システムにおいて、
    前記書換え情報を前記ゲートウェイ機能を有する前記制御装置の不揮発性メモリに記憶することを特徴とする車両制御システム。
  3. 請求項1に記載の車両制御システムにおいて、
    いずれかの前記制御装置の不揮発性メモリが書換えられる際に、前記ゲートウェイ機能を有する前記制御装置が前記複数の制御装置を選択することを特徴とする車両制御システム。
  4. 請求項3に記載の車両制御システムにおいて、
    前記書換え情報が、選択された前記複数の制御装置毎に異なる、
    ことを特徴とする車両制御システム。
  5. 請求項1に記載の車両制御システムにおいて、
    前記書換え情報を、前記制御装置の不揮発性メモリに記憶する際に、
    前記不揮発性メモリ内の予め定められた記憶領域内のいずれかに記憶する、
    ことを特徴とする車両制御システム。
  6. 請求項1に記載の車両制御システムにおいて、
    前記書換え情報を、前記制御装置の不揮発性メモリに記憶する際に、
    前記不揮発性メモリ内の所定の記憶領域の内、予め定められた固定場所に記憶する、
    ことを特徴とする車両制御システム。
  7. 請求項1に記載の車両制御システムにおいて、前記書換え情報を、前記制御装置の不揮発性メモリに記憶する際に、
    前記不揮発性メモリ内の予め定められた記憶領域内のいずれかに記憶する、あるいは前記不揮発性メモリ内の所定の記憶領域の内、予め定められた固定場所に記憶することを可能とし、
    前記予め定められた記憶領域内のいずれか、もしくは前記予め定められた固定場所を選択可能とすることを特徴とする車両制御システム。
  8. 請求項1に記載の車両制御システムにおいて、
    前記書換え情報の記憶先である、前記ゲートウェイ機能を有する前記制御装置が選択した前記制御装置を識別可能な情報を、
    前記ゲートウェイ機能を有する前記制御装置に記憶する、
    ことを特徴とする車両制御システム。
  9. 請求項1に記載の車両制御システムにおいて、
    前記書換え情報は、書換えを実施した日時、位置情報、あるいはプログラムバージョン名を含む、
    ことを特徴とする車両制御システム。
  10. 請求項1に記載の車両制御システムにおいて、
    前記書換え情報は、1bitの情報である、ことを特徴とする車両制御システム。
  11. 請求項9または請求項10に記載の車両制御システムにおいて、
    前記書換え情報は、暗号化して記憶する、ことを特徴とする車両制御システム。
JP2017146053A 2017-07-28 2017-07-28 車載メモリの改竄検知装置 Active JP6731892B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017146053A JP6731892B2 (ja) 2017-07-28 2017-07-28 車載メモリの改竄検知装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017146053A JP6731892B2 (ja) 2017-07-28 2017-07-28 車載メモリの改竄検知装置

Publications (2)

Publication Number Publication Date
JP2019028634A JP2019028634A (ja) 2019-02-21
JP6731892B2 true JP6731892B2 (ja) 2020-07-29

Family

ID=65478440

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017146053A Active JP6731892B2 (ja) 2017-07-28 2017-07-28 車載メモリの改竄検知装置

Country Status (1)

Country Link
JP (1) JP6731892B2 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005032236A (ja) * 2003-06-19 2005-02-03 Matsushita Electric Ind Co Ltd プログラム実行システム
JP4931957B2 (ja) * 2009-04-23 2012-05-16 本田技研工業株式会社 車両機能管理システム
JP2011000894A (ja) * 2009-06-16 2011-01-06 Fujitsu Ten Ltd 制御装置及び制御方法
JP5772609B2 (ja) * 2012-01-12 2015-09-02 株式会社デンソー 車両通信システム
JP6009290B2 (ja) * 2012-09-12 2016-10-19 株式会社ケーヒン 車両の電子制御装置
EP3252605B1 (en) * 2015-01-26 2022-04-06 Hitachi Astemo, Ltd. Vehicle-mounted control device, program writing device, program generating device and program
JP6428652B2 (ja) * 2016-01-06 2018-11-28 株式会社オートネットワーク技術研究所 車載更新装置、更新システム及び更新処理プログラム

Also Published As

Publication number Publication date
JP2019028634A (ja) 2019-02-21

Similar Documents

Publication Publication Date Title
JP6873198B2 (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP7334312B2 (ja) 更新管理方法、更新管理装置及び制御プログラム
US11618394B2 (en) Vehicle secure messages based on a vehicle private key
JP6675271B2 (ja) ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法
US10055904B2 (en) Vehicle gateway network protection
JP6855918B2 (ja) 暗号鍵の処理を行う車両用システム及び電子制御装置
JP5353545B2 (ja) 車載ネットワーク装置
US11182485B2 (en) In-vehicle apparatus for efficient reprogramming and controlling method thereof
JP2002202895A (ja) 車両基本機能制御プログラム更新装置
JP6712538B2 (ja) 改竄検知システム
JP7116204B2 (ja) 更新管理方法、更新管理装置及び制御プログラム
JP6731892B2 (ja) 車載メモリの改竄検知装置
EP2709073B1 (en) Electronic control unit of vehicle
JP5783013B2 (ja) 車載通信システム
WO2021145234A1 (ja) 自動バレーパーキングシステム
WO2021025061A1 (ja) 電池管理システム、電池装置、電池管理方法、及びコンピュータプログラム
JP4534731B2 (ja) 電子制御装置及びその識別コード生成方法
JP6107716B2 (ja) 車両制御装置及び車両用パスワード設定方法
WO2016116976A1 (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2018060295A (ja) 制御装置、制御方法、及びコンピュータプログラム
WO2009014257A1 (ja) 車両のデータ通信システム及び車両
JP6470344B2 (ja) 制御装置、制御方法、及びコンピュータプログラム
JP2009236026A (ja) 車両情報記憶装置、装置情報データ記憶システム、装置情報データ記憶方法
JP2020088458A (ja) 情報処理装置
US20230385076A1 (en) Method for operating a control unit on which multiple applications are executed

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170731

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200609

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200707

R150 Certificate of patent or registration of utility model

Ref document number: 6731892

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250