JP6852604B2 - 車載装置、管理方法および管理プログラム - Google Patents

車載装置、管理方法および管理プログラム Download PDF

Info

Publication number
JP6852604B2
JP6852604B2 JP2017135844A JP2017135844A JP6852604B2 JP 6852604 B2 JP6852604 B2 JP 6852604B2 JP 2017135844 A JP2017135844 A JP 2017135844A JP 2017135844 A JP2017135844 A JP 2017135844A JP 6852604 B2 JP6852604 B2 JP 6852604B2
Authority
JP
Japan
Prior art keywords
vehicle
processing unit
unit
secure area
determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017135844A
Other languages
English (en)
Other versions
JP2019021973A (ja
Inventor
明紘 小川
明紘 小川
博史 浦山
博史 浦山
剛志 萩原
剛志 萩原
靖弘 藪内
靖弘 藪内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2017135844A priority Critical patent/JP6852604B2/ja
Priority to CN201880046432.2A priority patent/CN110892683B/zh
Priority to US16/630,514 priority patent/US11938897B2/en
Priority to PCT/JP2018/022350 priority patent/WO2019012888A1/ja
Publication of JP2019021973A publication Critical patent/JP2019021973A/ja
Application granted granted Critical
Publication of JP6852604B2 publication Critical patent/JP6852604B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/34Detection related to theft or to other events relevant to anti-theft systems of conditions of vehicle components, e.g. of windows, door locks or gear selectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Mechanical Engineering (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、車載装置、管理方法および管理プログラムに関する。
従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
たとえば、特許文献1(国際公開第2013/51122号)には、以下のような車載ネットワークシステムが開示されている。すなわち、車載ネットワークシステムは、車両内部機器と車両外部機器との間のデータ中継を行う中継装置を備える車載ネットワークシステムであって、自車両が走行状態にある場合に、前記中継装置による前記データ中継を禁止する中継制御手段を備える。
国際公開第2013/51122号
"IT用語辞典 e−Words"、[online]、[平成29年5月1日検索]、インターネット〈URL:http://e−words.jp/w/耐タンパー性.html〉
特許文献1に記載の車載ネットワークシステムでは、自車両が走行状態にある場合に車両外部機器との通信を遮断することで、車両外部機器による不正アクセスを防止する。しかしながら、中継装置では、中継機能よりも管理機能にセキュリティ上の脆弱性を抱えることが多い。具体的には、たとえば、中継を許可するパケットの種類が不正に書き換えられると、不正なパケットも中継されて車両内部機器に送信されるため、車両内部機器が車両の外部から攻撃に対して無防備になってしまう。
この発明は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおいて、良好な通信を提供することが可能な車載装置、管理方法および管理プログラムを提供することである。
(1)上記課題を解決するために、この発明のある局面に係わる車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
(8)上記課題を解決するために、この発明のある局面に係わる管理方法は、車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記車両が所定の停車状態であるか否かを判定するステップと、判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む。
(9)上記課題を解決するために、この発明のある局面に係わる管理プログラムは、車両に搭載される車載装置において用いられる管理プログラムであって、コンピュータを、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部、として機能させるためのプログラムであり、前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
本発明は、このような特徴的な処理部を備える車載装置として実現することができるだけでなく、車載装置を備える車載通信システムとして実現することができる。また、本発明は、車載装置の一部または全部を実現する半導体集積回路として実現することができる。
本発明によれば、車載ネットワークにおいて、良好な通信を提供することができる。
図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。 図2は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。 図3は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が起動要求を受信した際の動作手順を定めたフローチャートである。 図4は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が取得処理を行う際の動作手順を定めたフローチャートである。 図5は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が監視処理を行う際の動作手順を定めたフローチャートである。
最初に、本発明の実施形態の内容を列記して説明する。
(1)本発明の実施の形態に係る車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
(2)好ましくは、前記車載装置は、さらに、前記外部装置に対する認証処理を行う認証部を備え、前記処理部は、前記判定部が肯定的な判定を行い、かつ前記認証処理が成功した場合に前記取得処理を行う。
たとえば、外部装置が不正な装置である場合、外部装置に対する認証処理が失敗する可能性が高い。上記の構成により、不正な外部装置が制御用情報を悪用する可能性をより低減することができる。
(3)好ましくは、前記セキュア領域に前記判定部が含まれる。
このように、容易にアクセスすることが困難なセキュア領域に判定部が含まれる構成により、判定部をハッキングから守ることができるので、たとえば、判定部を不正に操作することで判定部に肯定的な判定を行わせ、制御用情報を不正に取得することを防ぐことができる。
(4)より好ましくは、セキュア領域の内部に第1の前記判定部が含まれ、かつ前記セキュア領域の外部に第2の前記判定部が含まれ、前記処理部は、前記第1の判定部および前記第2の判定部の両方が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記取得処理を行う。
このような構成により、たとえば、第1の判定部および第2の判定部のいずれか一方が不正に操作されて肯定的な判定を強制されても、不正な操作から逃れた判定部が正しい判定を行うことができるので、制御用情報を不正に取得することをより確実に防ぐことができる。
(5)好ましくは、前記所定の停車状態は、駐車状態である。
このように、所定の停車状態を駐車状態とする構成により、たとえば、制御用情報が悪用され、車載装置が乗っ取られて遠隔操作されても、車両が駐車状態であるので車両の暴走を防ぐことができる。
(6)好ましくは、前記処理部は、前記車両が動き出した場合、または前記制御用情報の使用を終了した場合に、前記制御用情報を破棄する。
このように、制御用情報を使用すべきでない場合、または制御用情報を使用しない場合に、制御用情報を破棄する構成により、制御用情報が悪用される機会を低減することができる。
(7)好ましくは、前記処理部は、前記判定部が否定的な判定を行った場合、前記制御用情報により実現される機能の、前記外部装置からの起動要請を拒否する旨の応答を行う。
このような構成により、車両において制御用情報の使用が制限されていることを、制御用情報の使用を要請した外部装置に通知することができる。
(8)本発明の実施の形態に係る管理方法は、車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記車両が所定の停車状態であるか否かを判定するステップと、判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む。
このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
(9)本発明の実施の形態に係る管理プログラムは、車両に搭載される車載装置において用いられる管理プログラムであって、コンピュータを、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部、として機能させるためのプログラムであり、前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
[構成および基本動作]
図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
図1を参照して、車載通信システム301は、ゲートウェイ装置(車載装置)101と、複数の機能部111と、複数の機能部161とを備える。車載通信システム301は、車両1に搭載される。
機能部111は、たとえば、自動運転ECU(Electronic Control Unit)、センサ、ナビゲーション装置、TCU(Telematics Communication Unit)、セントラルゲートウェイ(CGW)、ヒューマンマシンインタフェース、およびカメラ等である。
ゲートウェイ装置101および機能部111は、たとえば、車載のイーサネット(登録商標)通信用のケーブル(以下、イーサネットケーブルとも称する。)10により互いに接続されている。
ゲートウェイ装置101および機能部111は、イーサネットケーブル10を用いて互いに通信する。ゲートウェイ装置101および機能部111間では、たとえば、IEEE802.3に従うイーサネットフレームを用いて情報のやり取りが行われる。
機能部161は、たとえば、エンジン、AT(Automatic Transmission)、ブレーキおよびエアコン等の制御装置、ならびに各種センサである。
ゲートウェイ装置101は、たとえばCANの規格に従うバス(以下、CANバスとも称する。)11を介して機能部161と接続されている。
CANバス11は、たとえば系統別に設けられる。具体的には、CANバス11は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バス等である。
ゲートウェイ装置101および機能部161は、CANバス11を用いて互いに通信する。ゲートウェイ装置101および機能部161間では、たとえば、CANの通信規格に従うメッセージを用いて情報のやり取りが行われる。
ゲートウェイ装置101は、車載ネットワークにおけるデータを中継する中継処理を行う。
より詳細には、ゲートウェイ装置101は、たとえば、異なるCANバス11にそれぞれ接続された機能部161間におけるデータの中継処理、各機能部111間におけるデータの中継処理、ならびに機能部111および機能部161間におけるデータの中継処理を行う。
なお、ゲートウェイ装置101は、イーサネットケーブル10およびCANバス11を介して機能部111,161と接続される構成に限らず、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスを介して機能部111,161と接続される構成であってもよい。
図2は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図2を参照して、ゲートウェイ装置101は、運用領域51と、セキュア領域52と、中継部53と、外部装置用ポート54とを備える。運用領域51は、処理部21と、車両状態判定部22と、認証部23とを含む。セキュア領域52は、セキュア制御部31と、車両状態判定部32と、セキュア記憶部33とを含む。
外部装置用ポート54には、たとえば、外部装置の一例である管理ツールが接続可能である。管理ツールは、たとえば、ゲートウェイ装置101および機能部111,161におけるファームウェアの更新および検査を行う。
中継部53は、車載ネットワークにおけるデータを中継する中継処理を行う。また、たとえば、管理ツールが外部装置用ポート54を介してゲートウェイ装置101に接続された場合、中継部53は、管理ツールと通信を行う。
中継部53は、自己宛の情報を管理ツールから受信すると、受信した情報を運用領域51へ出力する。また、中継部53は、管理ツール宛の情報を運用領域51から受けると、受けた情報を管理ツールへ送信する。また、中継部53は、管理ツールと機能部111および機能部161との間におけるデータを中継する。
セキュア領域52は、たとえば、セキュアIC(Integrated Circuit)である。セキュア領域52におけるセキュア記憶部33は、制御用情報の一例である管理プログラムを記憶する。管理プログラムは、たとえば、処理部21に管理機能を実現させるためのプログラムである。
ここで、管理機能は、たとえば、コマンド操作するためのコンソールを管理ツールに提供するための機能、ゲートウェイ装置101および管理ツール間の通信を行うための機能、ならびに中継部53におけるフィルタ設定等を行うための機能を含む。フィルタ設定により、中継を許可すべきメッセージおよびイーサネットフレームの種類が設定される。
また、セキュア記憶部33は、たとえば、非特許文献1(“IT用語辞典 e−Words”、[online]、[平成29年5月1日検索]、インターネット〈URL:http://e−words.jp/w/耐タンパー性.html〉)に記載の耐タンパー性を有している。
ここで、耐タンパー性は、ソフトウェアおよびハードウェアが備える、内部構造およびデータ等の解析の困難さを表す。言い換えると、耐タンパー性は、非正規な手段による機密データの読み取りを防ぐ能力である。この例では、セキュア記憶部33に保存された管理プログラムは、所定の暗号方式に従ってセキュア制御部31によって暗号化されている。
たとえば、管理ツールが外部装置用ポート54を介してゲートウェイ装置101に接続された状況を想定する。
管理ツールは、たとえば、管理プログラムの起動要請を示す起動要求をゲートウェイ装置101へ送信する。
ゲートウェイ装置101における中継部53は、管理ツールから外部装置用ポート54経由で起動要求を受信すると、受信した起動要求を運用領域51へ出力する。
運用領域51は、たとえば、MPU(Micro Processing Unit)である。
運用領域51における処理部21は、中継部53から起動要求を受けると、自己の車両1の状態を判定させる判定命令を車両状態判定部22へ出力する。
車両状態判定部22は、自己の車両1が所定の停車状態であるか否かを判定する。ここで、停車状態は、たとえば、車両1の速度が所定のしきい値未満の状態である。当該所定のしきい値は、たとえば1キロメートル毎時である。停車状態には様々な状態があり、停車状態の一例として駐車状態がある。
本実施の形態では、所定の停車状態は駐車状態であるとして、以下説明する。すなわち、本実施の形態では、車両状態判定部22は、たとえば、自己の車両1が駐車状態であるか否かを判定する。
より詳細には、車両状態判定部22には、監視対象とすべきメッセージ(以下、判定用メッセージとも称する。)がたとえばユーザにより登録されている。
具体的には、判定用メッセージは、たとえば、オートマチックギアのシフトレンジを示す情報を含むメッセージ、サイドブレーキの状態を示す情報を含むメッセージ、フットブレーキの状態を示す情報を含むメッセージ、および車速情報を含むメッセージ等である。
車両状態判定部22は、中継部53が中継するメッセージを監視し、中継部53が判定用メッセージを中継する際、判定用メッセージを中継部53から取得し、取得した判定用メッセージに基づいて自己の車両1の状態を判定する。
具体的には、車両状態判定部22は、たとえば、所定条件C1〜C4のうちの少なくともいずれか1つが満たされた場合、自己の車両1が所定の停車状態すなわち駐車状態であると判定する。
ここで、所定条件C1は、たとえばシフトレンジがパーキングの位置にある状態であることである。
所定条件C2は、たとえば、シフトレンジがニュートラルの位置にあり、かつサイドブレーキが作動している状態であることである。
所定条件C3は、たとえば、シフトレンジがニュートラルの位置にあり、かつフットブレーキが作動している状態であることである。
所定条件C4は、たとえば、シフトレンジがニュートラルの位置にあり、かつ車速がゼロの状態であることである。
一方、車両状態判定部22は、所定条件C1〜C4のうちのいずれも満たされない場合、自己の車両1が所定の停車状態でないと判定する。
車両状態判定部22は、処理部21から判定命令を受けると、判定結果を示す判定結果情報を作成し、作成した判定結果情報を処理部21へ出力する。
処理部21は、たとえば、車両状態判定部22が否定的な判定を行った場合、管理プログラムにより実現される機能の、管理ツールからの起動要求を拒否する旨の応答を行う。
一方、処理部21は、たとえば、車両状態判定部22が肯定的な判定を行い、かつ認証処理が成功した場合、セキュア領域52にアクセスし、管理ツールがゲートウェイ装置101を制御するための管理プログラムをセキュア領域52から取得する取得処理を行う。
より詳細には、処理部21は、判定命令の応答として判定結果情報を車両状態判定部22から受けると、以下の処理を行う。
すなわち、処理部21は、判定結果情報が自己の車両1が所定の停車状態でないことを示す場合、起動要求の拒絶を示す拒絶情報を中継部53および外部装置用ポート54経由で管理ツールへ送信する。
一方、処理部21は、判定結果情報が自己の車両1が所定の停車状態であることを示す場合、管理ツールを認証させる認証命令を認証部23へ出力する。
認証部23は、たとえば、外部装置に対する認証処理を行う。より詳細には、認証部23は、認証命令を処理部21から受けると、中継部53および外部装置用ポート54を介して管理ツールと認証用のIPパケットをやり取りすることにより管理ツールの認証を試みる。
認証部23は、管理ツールの認証に成功した場合、認証成功情報を処理部21へ出力する。一方、認証部23は、管理ツールの認証に失敗した場合、認証失敗情報を処理部21へ出力する。
セキュア領域52は、耐タンパー性の一例として、処理部21が所定の情報を出力した場合に処理部21からアクセス可能である。
より詳細には、セキュア領域52におけるセキュア記憶部33は、たとえば、処理部21が所定の情報を出力した場合に処理部21からのアクセスが許可される。
この例では、セキュア記憶部33は、処理部21が所定の手順P1に従った場合に処理部21からアクセス可能であり、手順P1に従わない場合にはアクセスできない。
より詳細には、セキュア制御部31は、セキュア記憶部33にアクセス可能である。一方、処理部21は、セキュア領域52におけるセキュア制御部31により認証された場合にしかセキュア記憶部33にアクセスできない。
処理部21は、認証命令の応答として認証成功情報を認証部23から受けると、たとえば、セキュア記憶部33にアクセスするためのアクセス要求をセキュア領域52へ出力する。
セキュア領域52におけるセキュア制御部31は、処理部21からアクセス要求を受けると、自己の車両1の状態を判定させる判定命令を車両状態判定部32へ出力する。
車両状態判定部32は、車両1が所定の停車状態であるか否かを判定する。より詳細には、車両状態判定部32には、車両状態判定部22と同様に、判定用メッセージがたとえばユーザにより登録されている。
車両状態判定部32は、中継部53が中継するメッセージを監視し、中継部53が判定用メッセージを中継する際、判定用メッセージを中継部53から取得し、取得した判定用メッセージに基づいて自己の車両1の状態を判定する。
具体的には、車両状態判定部32は、たとえば、所定条件C1〜C4のうちの少なくともいずれか1つが満たされた場合、自己の車両1が所定の停車状態であると判定する。
一方、車両状態判定部32は、所定条件C1〜C4のうちのいずれも満たされない場合、自己の車両1が所定の停車状態でないと判定する。
車両状態判定部32は、セキュア制御部31から判定命令を受けると、判定結果を示す判定結果情報を作成し、作成した判定結果情報をセキュア制御部31へ出力する。
セキュア制御部31は、判定命令の応答として判定結果情報を車両状態判定部32から受けると、以下の処理を行う。
すなわち、セキュア制御部31は、判定結果情報が自己の車両1が所定の停車状態でないことを示す場合、アクセス不許可を示す不許可情報を処理部21へ出力する。
処理部21は、アクセス要求の応答として不許可情報をセキュア制御部31から受けると、セキュア領域52へのアクセスに失敗したと認識し、拒絶情報を中継部53および外部装置用ポート54経由で管理ツールへ送信する。
一方、セキュア制御部31は、判定結果情報が自己の車両1が所定の停車状態であることを示す場合、認証情報の要求を示す認証情報要求を処理部21へ出力する。
処理部21は、セキュア制御部31から認証情報要求を受けると、受けた認証情報要求に従って、たとえば、専用鍵、パスワード、またはパスワードとIDとの組み合わせ等を含む認証情報をセキュア制御部31へ出力する。
セキュア制御部31は、処理部21から認証情報を受けると、受けた認証情報を認証する。セキュア制御部31は、認証情報の認証に失敗した場合、不許可情報を処理部21へ出力する。一方、セキュア制御部31は、認証情報の認証に成功した場合、アクセス許可を示す許可情報を処理部21へ出力する。
処理部21は、セキュア制御部31から許可情報を受けた場合、セキュア制御部31を介してセキュア記憶部33へのアクセスが可能となるが、セキュア制御部31から不許可情報を受けた場合、セキュア記憶部33へのアクセスがセキュア制御部31によってブロックされる。
なお、セキュア制御部31による処理部21の認証は、上記の手順P1に従う構成に限らず、たとえば、処理部21がアクセス要求を送信せずにいきなり認証情報をセキュア制御部31へ送信し、セキュア制御部31が、処理部21から受けた認証情報を認証する構成であってもよい。
処理部21は、認証情報の応答として不許可情報をセキュア制御部31から受けると、認証に失敗したと認識し、拒絶情報を中継部53および外部装置用ポート54経由で管理ツールへ送信する。
一方、処理部21は、認証情報の応答として許可情報をセキュア制御部31から受けると、認証に成功したと認識し、管理プログラムをセキュア制御部31に要求する。
セキュア制御部31は、処理部21の要求に応じて、暗号化された管理プログラムをセキュア記憶部33から取得し、所定の暗号方式に従って管理プログラムを復号する。そして、セキュア制御部31は、復号後の管理プログラムを処理部21へ出力する。
処理部21は、セキュア制御部31から管理プログラムを受けると、受けた管理プログラムを使用する。
より詳細には、処理部21は、たとえば、管理プログラムを保持し、保持した管理プログラムに基づいて、管理プログラムのインスタンスであるプロセス(以下、対象プロセスとも称する。)を生成する。なお、処理部21は、たとえば、管理プログラムを図示しないRAM(Random Access Memory)に保持してもよい。
処理部21は、たとえば、車両1が動き出した場合、または管理プログラムの使用を終了した場合に、管理プログラムを破棄する。
より詳細には、処理部21は、管理プログラムを使用する際に、車両状態判定部22における判定結果の監視、および生成した対象プロセスの監視を開始する。そして、処理部21は、監視結果に基づいて管理プログラムを破棄する。
より詳細には、処理部21は、たとえば、所定時間T1ごとに判定命令を車両状態判定部22へ出力し、判定命令の応答として判定結果情報を車両状態判定部22から受ける。
処理部21は、車両状態判定部22から受けた判定結果情報が自己の車両1が所定の停車状態でないことを示す場合、保持している管理プログラムを破棄する。
また、処理部21は、監視している対象プロセスが消滅した場合、保持している管理プログラムを破棄する。なお、処理部21は、管理プログラムを破棄する代わりに管理プログラムをセキュア記憶部33へ戻してもよい。
一方、処理部21は、判定結果情報が自己の車両1が所定の停車状態であることを示す場合、および対象プロセスが消滅していない場合、管理プログラムの保持を継続する。
[動作の流れ]
ゲートウェイ装置は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下に示すフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリから読み出して実行する。この装置のプログラムは、外部からインストールすることができる。この装置のプログラムは、記録媒体に格納された状態で流通する。
図3は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が起動要求を受信した際の動作手順を定めたフローチャートである。
図3を参照して、まず、ゲートウェイ装置101は、起動要求を管理ツールから受信するまで、メッセージおよびイーサネットフレームの中継処理を行う(ステップS102でNO)。
そして、ゲートウェイ装置101は、起動要求を管理ツールから受信すると(ステップS102でYES)、運用領域51において、自己の車両1が所定の停車状態であるか否かを判定する判定処理を行う(ステップS104)。
次に、ゲートウェイ装置101は、自己の車両1が所定の停車状態である場合(ステップS106でYES)、管理ツールを認証する認証処理を行う(ステップS108)。
次に、ゲートウェイ装置101は、管理ツールの認証に成功した場合(ステップS110でYES)、取得処理を行う(ステップS112)。
また、ゲートウェイ装置101は、自己の車両1が所定の停車状態でない場合(ステップS106でNO)、および管理ツールの認証に失敗した場合(ステップS110でNO)、拒絶情報を管理ツールへ送信する(ステップS114)。
図4は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が取得処理を行う際の動作手順を定めたフローチャートである。図4は、図3のステップS112における動作の詳細を示している。
図4を参照して、まず、ゲートウェイ装置101は、セキュア領域52へアクセス要求を出力する(ステップS202)。
次に、ゲートウェイ装置101は、セキュア領域52において、自己の車両1が所定の停車状態であるか否かを判定する判定処理を行う(ステップS204)。
次に、ゲートウェイ装置101は、自己の車両1が所定の停車状態である場合(ステップS206でYES)、セキュア領域52へ認証情報を出力する(ステップS208)。
次に、ゲートウェイ装置101は、認証情報が正当である場合(ステップS210でYES)、セキュア記憶部33へのアクセスが許可される(ステップS212)。
次に、ゲートウェイ装置101は、セキュア記憶部33から管理プログラムを取得し、取得した管理プログラムを保持して使用する(ステップS214)。
次に、ゲートウェイ装置101は、車両1の状態および管理プログラムの使用状況を監視する監視処理を行う(ステップS216)。
また、ゲートウェイ装置101は、自己の車両1が所定の停車状態でない場合(ステップS206でNO)、および認証情報が正当でない場合(ステップS210でNO)、セキュア記憶部33へのアクセスが許可されない(ステップS218)。
次に、ゲートウェイ装置101は、拒絶情報を管理ツールへ送信する(ステップS220)。
図5は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が監視処理を行う際の動作手順を定めたフローチャートである。図5は、図4のステップS216における動作の詳細を示している。
図5を参照して、まず、ゲートウェイ装置101は、所定時間T1ごとの運用領域51における判定処理の結果の監視、および対象プロセスの監視を開始する(ステップS302)。
次に、ゲートウェイ装置101は、自己の車両1が所定の停車状態であり、かつ対象プロセスが消滅していない場合、(ステップS304でYESおよびステップS306でNO)、管理プログラムの保持および使用を継続する。
一方、ゲートウェイ装置101は、自己の車両1が所定の停車状態でなくなった場合(ステップS304でNO)、または対象プロセスが消滅した場合(ステップS306でYES)、保持している管理プログラムを破棄する(ステップS308)。
なお、本発明の実施の形態に係る車載通信システムでは、ゲートウェイ装置101が上述の動作を行う構成であるとしたが、これに限定するものではない。車載通信システム301において、機能部が上述の動作を行う構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、管理ツールが外部装置として外部装置用ポート54に接続される構成であるとしたが、これに限定するものではない。外部装置用ポート54には、スマートホンおよびナビゲーション装置等が外部装置として接続される構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置は、運用領域51およびセキュア領域52の両方において車両状態判定部を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、運用領域51およびセキュア領域52のいずれか一方において車両状態判定部を備える構成であってもよい。しかしながら、たとえば、運用領域51がハッキングされて認証情報が盗まれた場合においても、セキュア領域52における車両状態判定部32によって車両1の走行中における運用領域51からの不正アクセスを拒絶することができるので、運用領域51およびセキュア領域52の両方において車両状態判定部を備える構成が好ましい。
また、本発明の実施の形態に係るゲートウェイ装置は、認証部23を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、認証部23を備えない構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、駐車状態を所定の停車状態とする構成であるとしたが、これに限定するものではない。たとえば、シフトレンジがドライブの位置にあり、かつサイドブレーキまたはフットブレーキが作動しているときのような車両1が一時停止している状態を所定の停車状態とする構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、車両状態判定部22,32は、所定条件C1〜C4を用いて、自己の車両1が駐車状態であるか否かを判定する構成であるとしたが、これに限定するものではない。車両状態判定部22,32は、他の条件を用いて、自己の車両1が駐車状態であるか否かを判定する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、車両状態判定部22,32は、所定条件C1〜C4のうちの少なくともいずれか1つが満たされた場合、自己の車両1が所定の停車状態であると判定する構成であるとしたが、これに限定するものではない。車両状態判定部22,32は、他の条件が満たされた場合に、自己の車両1が所定の停車状態であると判定する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両1が動き出した場合、または管理プログラムの使用を終了した場合に、管理プログラムを破棄する構成であるとしたが、これに限定するものではない。処理部21は、上記の場合に限らず、たとえば、管理プログラムの使用開始タイミングから所定時間経過後に当該管理プログラムを削除する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両1が所定の停車状態でない場合に、拒絶情報を管理ツールへ送信する構成であるとしたが、これに限定するものではない。処理部21は、上記の場合においても、拒絶情報を管理ツールへ送信しない構成であってもよい。
ところで、特許文献1に記載の車載ネットワークシステムでは、自車両が走行状態にある場合に車両外部機器との通信を遮断することで、車両外部機器による不正アクセスを防止する。しかしながら、中継装置では、中継機能よりも管理機能にセキュリティ上の脆弱性を抱えることが多い。具体的には、たとえば、中継を許可するパケットの種類が不正に書き換えられると、不正なパケットも中継されて車両内部機器に送信されるため、車両内部機器が車両の外部から攻撃に対して無防備になってしまう。
これに対して、本発明の実施の形態に係るゲートウェイ装置は、車両1に搭載される。車両状態判定部22,32は、車両1が所定の停車状態であるか否かを判定する。セキュア領域52は、処理部21が所定の情報を出力した場合に処理部21からアクセス可能である。セキュア領域52には、外部装置がゲートウェイ装置101を制御するための制御用情報が保存されている。そして、処理部21は、車両状態判定部22,32が肯定的な判定を行った場合、セキュア領域52にアクセスし、制御用情報をセキュア領域52から取得する取得処理を行う。
このように、車両1が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域52から制御用情報を取得する構成により、制御用情報を使用すべきでない車両1の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両1の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時にゲートウェイ装置101が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、認証部23は、外部装置に対する認証処理を行う。そして、処理部21は、車両状態判定部22,32が肯定的な判定を行い、かつ認証処理が成功した場合に取得処理を行う。
たとえば、外部装置が不正な装置である場合、外部装置に対する認証処理が失敗する可能性が高い。上記の構成により、不正な外部装置が制御用情報を悪用する可能性をより低減することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、セキュア領域52に車両状態判定部32が含まれる。
このように、容易にアクセスすることが困難なセキュア領域52に車両状態判定部32が含まれる構成により、車両状態判定部32をハッキングから守ることができるので、たとえば、車両状態判定部32を不正に操作することで車両状態判定部32に肯定的な判定を行わせ、制御用情報を不正に取得することを防ぐことができる。
また、本発明の実施の形態に係るゲートウェイ装置では、セキュア領域52の内部に車両状態判定部32が含まれ、かつセキュア領域52の外部たとえば運用領域51に車両状態判定部22が含まれる。そして、処理部21は、車両状態判定部32および車両状態判定部22の両方が肯定的な判定を行った場合、セキュア領域52にアクセスし、取得処理を行う。
このような構成により、たとえば、車両状態判定部32および車両状態判定部22のいずれか一方が不正に操作されて肯定的な判定を強制されても、不正な操作から逃れた判定部が正しい判定を行うことができるので、制御用情報を不正に取得することをより確実に防ぐことができる。
また、本発明の実施の形態に係るゲートウェイ装置では、所定の停車状態は、駐車状態である。
このように、所定の停車状態を駐車状態とする構成により、たとえば、制御用情報が悪用され、ゲートウェイ装置101が乗っ取られて遠隔操作されても、車両1が駐車状態であるので車両1の暴走を防ぐことができる。
また、本発明の実施の形態に係るゲートウェイ装置では、所定の停車状態は、シフトレンジがパーキングの位置にある状態、シフトレンジがニュートラルの位置にあり、かつサイドブレーキもしくはフットブレーキが作動している状態、またはシフトレンジがニュートラルの位置にあり、かつ車速がゼロの状態である。
このように、所定の停車状態を、たとえば、CAN情報等の車両において伝送される情報を用いて定める構成により、制御用情報の使用を許可してもよい状態であるか否かを容易に判定することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両1が動き出した場合、または制御用情報の使用を終了した場合に、制御用情報を破棄する。
このように、制御用情報を使用すべきでない場合、または制御用情報を使用しない場合に、制御用情報を破棄する構成により、制御用情報が悪用される機会を低減することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両状態判定部22,32が否定的な判定を行った場合、制御用情報により実現される機能の、外部装置からの起動要請を拒否する旨の応答を行う。
このような構成により、車両1において制御用情報の使用が制限されていることを、制御用情報の使用を要請した外部装置に通知することができる。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
車両に搭載される車載装置であって、
処理部と、
前記車両が所定の停車状態であるか否かを判定する判定部と、
前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、
前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、
前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行い、
前記車載装置は、ゲートウェイ装置であり、
前記車載装置は、さらに、
CAN(Controller Area Network)の通信規格に従うデータ、およびイーサネットの通信規格に従うデータを中継する中継部を備え、
前記セキュア領域は、耐タンパー性を有し、
前記制御用情報は、コマンド操作するためのコンソールを前記外部装置に提供するための管理機能、前記車載装置および前記外部装置間の通信を行うための管理機能、または前記中継部におけるフィルタ設定を行うための管理機能を前記処理部に実現させるための管理プログラムである、車載装置。
1 車両
10 イーサネットケーブル
11 CANバス
21 処理部
22 車両状態判定部
23 認証部
31 セキュア制御部
32 車両状態判定部
33 セキュア記憶部
51 運用領域
52 セキュア領域
53 中継部
54 外部装置用ポート
101 ゲートウェイ装置(車載装置)
111,161 機能部
301 車載通信システム

Claims (9)

  1. 車両に搭載される車載装置であって、
    処理部と、
    前記車両が所定の停車状態であるか否かを判定する判定部と、
    前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、
    前記セキュア領域には、外部装置が前記車載装置を制御するための暗号化された制御用情報が保存されており、
    前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う、車載装置。
  2. 前記車載装置は、さらに、
    前記外部装置に対する認証処理を行う認証部を備え、
    前記処理部は、前記判定部が肯定的な判定を行い、かつ前記認証処理が成功した場合に前記取得処理を行う、請求項1に記載の車載装置。
  3. 前記セキュア領域に前記判定部が含まれる、請求項1または請求項2に記載の車載装置。
  4. 前記セキュア領域の内部に第1の前記判定部が含まれ、かつ前記セキュア領域の外部に第2の前記判定部が含まれ、
    前記処理部は、前記第1の判定部および前記第2の判定部の両方が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記取得処理を行う、請求項3に記載の車載装置。
  5. 前記所定の停車状態は、駐車状態である、請求項1から請求項4のいずれか1項に記載の車載装置。
  6. 前記処理部は、前記車両が動き出した場合、または前記制御用情報の使用を終了した場合に、前記制御用情報を破棄する、請求項1から請求項5のいずれか1項に記載の車載装置。
  7. 前記処理部は、前記判定部が否定的な判定を行った場合、前記制御用情報により実現される機能の、前記外部装置からの起動要請を拒否する旨の応答を行う、請求項1から請求項6のいずれか1項に記載の車載装置。
  8. 車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、
    前記セキュア領域には、外部装置が前記車載装置を制御するための暗号化された制御用情報が保存されており、
    前記車両が所定の停車状態であるか否かを判定するステップと、
    判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む、管理方法。
  9. 車両に搭載される車載装置において用いられる管理プログラムであって、
    コンピュータを、
    処理部と、
    前記車両が所定の停車状態であるか否かを判定する判定部、
    として機能させるためのプログラムであり、
    前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、
    前記セキュア領域には、外部装置が前記車載装置を制御するための暗号化された制御用情報が保存されており、
    前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う、管理プログラム。
JP2017135844A 2017-07-12 2017-07-12 車載装置、管理方法および管理プログラム Active JP6852604B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017135844A JP6852604B2 (ja) 2017-07-12 2017-07-12 車載装置、管理方法および管理プログラム
CN201880046432.2A CN110892683B (zh) 2017-07-12 2018-06-12 车载装置、管理方法和管理程序
US16/630,514 US11938897B2 (en) 2017-07-12 2018-06-12 On-vehicle device, management method, and management program
PCT/JP2018/022350 WO2019012888A1 (ja) 2017-07-12 2018-06-12 車載装置、管理方法および管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017135844A JP6852604B2 (ja) 2017-07-12 2017-07-12 車載装置、管理方法および管理プログラム

Publications (2)

Publication Number Publication Date
JP2019021973A JP2019021973A (ja) 2019-02-07
JP6852604B2 true JP6852604B2 (ja) 2021-03-31

Family

ID=65001908

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017135844A Active JP6852604B2 (ja) 2017-07-12 2017-07-12 車載装置、管理方法および管理プログラム

Country Status (4)

Country Link
US (1) US11938897B2 (ja)
JP (1) JP6852604B2 (ja)
CN (1) CN110892683B (ja)
WO (1) WO2019012888A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018214999A1 (de) * 2017-10-13 2019-04-18 Robert Bosch Gmbh Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
JP2020154540A (ja) * 2019-03-19 2020-09-24 キオクシア株式会社 メモリシステム及び制御システム
JP7293867B2 (ja) * 2019-05-28 2023-06-20 トヨタ自動車株式会社 車両制御システムおよび車両制御インタフェース
JP2020201857A (ja) * 2019-06-13 2020-12-17 株式会社東海理化電機製作所 認証システム及び認証方法
JP2021114715A (ja) * 2020-01-20 2021-08-05 国立大学法人東海国立大学機構 中継装置、中継方法及びコンピュータプログラム
CN112078493A (zh) * 2020-09-04 2020-12-15 天地融科技股份有限公司 一种应用于车载单元的防拆装置和车载单元
WO2022054529A1 (ja) * 2020-09-09 2022-03-17 日立Astemo株式会社 車載制御装置及び方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016614A (ja) * 2000-06-30 2002-01-18 Sumitomo Electric Ind Ltd 車載ゲートウェイ
JP2002202895A (ja) * 2000-12-28 2002-07-19 Toyota Central Res & Dev Lab Inc 車両基本機能制御プログラム更新装置
US7502928B2 (en) * 2004-11-12 2009-03-10 Sony Computer Entertainment Inc. Methods and apparatus for secure data processing and transmission
JP2008059450A (ja) * 2006-09-01 2008-03-13 Denso Corp 車両情報書換えシステム
JP5002337B2 (ja) * 2007-05-31 2012-08-15 株式会社東芝 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US9299255B2 (en) * 2010-03-04 2016-03-29 Verizon Telematics Inc. Method and system for providing location information of a vehicle to a user device
EP2570309A1 (en) 2011-09-16 2013-03-20 Gemalto SA Vehicle providing a secured access to security data
WO2013051122A1 (ja) 2011-10-05 2013-04-11 トヨタ自動車株式会社 車載ネットワークシステム
US9041556B2 (en) * 2011-10-20 2015-05-26 Apple Inc. Method for locating a vehicle
EP2868529B1 (en) * 2012-06-27 2021-04-14 Nippon Seiki Co., Ltd. Information providing device for vehicle
US20140032865A1 (en) * 2012-07-26 2014-01-30 Yuji Nagai Storage system in which information is prevented
CN106030600B (zh) * 2014-02-28 2018-10-16 日立汽车系统株式会社 认证系统、车载控制装置
US10402184B2 (en) * 2014-05-20 2019-09-03 Ford Global Technologies, Llc Module interface for vehicle updates
JP6228093B2 (ja) * 2014-09-26 2017-11-08 Kddi株式会社 システム
EP3412514B1 (en) * 2014-11-12 2019-12-04 Panasonic Intellectual Property Corporation of America Update management method, update management device, and control program
JP6422059B2 (ja) * 2015-07-31 2018-11-14 パナソニックIpマネジメント株式会社 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム
US10308198B2 (en) * 2016-05-10 2019-06-04 Samsung Electronics Co., Ltd Electronic device and vehicle control method using the same
KR102710757B1 (ko) * 2016-08-10 2024-09-27 삼성전자주식회사 차량의 주차 위치 정보를 제공하기 위한 방법 및 그 전자 장치
KR20180022005A (ko) * 2016-08-23 2018-03-06 삼성전자주식회사 외부 장치의 위치 정보를 제공하기 위한 방법 및 그 전자 장치
JP6140874B1 (ja) * 2016-10-03 2017-05-31 Kddi株式会社 制御装置、制御方法、及びコンピュータプログラム
JP2018173721A (ja) * 2017-03-31 2018-11-08 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、車両制御装置、通信管理装置

Also Published As

Publication number Publication date
US11938897B2 (en) 2024-03-26
JP2019021973A (ja) 2019-02-07
CN110892683A (zh) 2020-03-17
CN110892683B (zh) 2023-01-06
US20200361412A1 (en) 2020-11-19
WO2019012888A1 (ja) 2019-01-17

Similar Documents

Publication Publication Date Title
JP6852604B2 (ja) 車載装置、管理方法および管理プログラム
US11755713B2 (en) System and method for controlling access to an in-vehicle communication network
JP6505318B2 (ja) 車両の電子制御ユニットへの不正アクセスイベントの通知
WO2018051607A1 (ja) 検知装置、ゲートウェイ装置、検知方法および検知プログラム
US20130227650A1 (en) Vehicle-Mounted Network System
US20160173530A1 (en) Vehicle-Mounted Network System
CN101199183B (zh) 保证汽车部件通过无线通信连接与外部通信伙伴的安全通信的方法、装置和系统
US20110083161A1 (en) Vehicle, maintenance device, maintenance service system, and maintenance service method
US20160012653A1 (en) Method and apparatus for providing vehicle security
JP6327344B2 (ja) ネットワークシステム、通信制御方法および記憶媒体
CN105320034A (zh) 使用诊断工具从车辆向远程服务器安全地提供诊断数据
KR101754951B1 (ko) Can 통신 기반 해킹공격에 안전한 can 컨트롤러
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
EP3167436B1 (en) Method and apparatus for providing vehicle security
KR101966345B1 (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
EP3979584A1 (en) Security network of connected vehicle
JP2023170125A (ja) セキュリティ方法、および、セキュリティ装置
JP2013142963A (ja) 車載制御装置の認証システム
van Roermund In-vehicle networks and security
JP6470344B2 (ja) 制御装置、制御方法、及びコンピュータプログラム
KR102411797B1 (ko) 하드웨어 기반의 차량 사이버보안시스템
TWI699987B (zh) 車載聯網電子系統的控制方法
US20240291687A1 (en) Apparatus for secured communication between control devices in a vehicle, electronic processing unit, and vehicle
WO2024154585A1 (ja) 車載装置、情報処理方法及び、車載システム
CN111464969B (zh) 车载联网电子系统的控制方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210222

R150 Certificate of patent or registration of utility model

Ref document number: 6852604

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250