JP6969426B2 - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP6969426B2 JP6969426B2 JP2018027796A JP2018027796A JP6969426B2 JP 6969426 B2 JP6969426 B2 JP 6969426B2 JP 2018027796 A JP2018027796 A JP 2018027796A JP 2018027796 A JP2018027796 A JP 2018027796A JP 6969426 B2 JP6969426 B2 JP 6969426B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- shared memory
- electronic control
- control device
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
前記非セキュア領域内の共有メモリ(102)と、
前記セキュア領域内の退避先メモリ(104)と、
前記共有メモリに対するアクセス権情報を保存するアクセス権情報保存部(105)と、
前記共有メモリへのデータの書き込み要求、及び前記共有メモリから前記退避先メモリへの前記データの退避要求を出力するとともに、前記データが前記共有メモリに書き込まれた場合、前記アクセス権情報を書き込み不可に設定し、前記データが前記共有メモリから前記退避先メモリに退避された場合、前記アクセス権情報を書き込み可能に設定する、共有メモリ監視部(106)と、
前記共有メモリ監視部からの前記書き込み要求または前記退避要求に基づいて、前記共有メモリへの前記データの書き込みまたは前記退避先メモリへの前記データの退避を実行するメモリコントローラ(108)と、
を備える。
なお、各実施形態に開示の構成は、各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の手段と共に発明の進歩性を肯定する事実である。
本実施形態1の電子制御装置の構成を図1を用いて説明する。図1に示す電子制御装置10は、「非セキュア領域」と、非セキュア領域からはアクセスできない領域である「セキュア領域」とを有している。電子制御装置10の非セキュア領域には、アプリケーション実行部101(図中では、APP実行部と示す)、共有メモリ102、及びドライバ103が設けられている。セキュア領域には、退避先メモリ104、アクセス権情報保存部105、共有メモリ監視部106、及び退避実行部107が設けられている。さらに、電子制御装置10は、メモリコントローラ108を備えている。
ここで、本発明の「共有メモリに対するアクセス権情報」とは、共有メモリ全体に対するアクセス権を示す情報だけでなく、共有メモリの一部の領域に対するアクセス権を示す情報であってもよい。
ここで、本発明の「データ」とは、アプリケーションが取り扱うデータの他、アプリケーションやシステムの履歴を示すログをも含む。
ここで、本発明の「データの退避」とは、データを共有メモリから読み出して退避先メモリに書き込むことをいい、共有メモリに保存されていたデータが削除されるか否かは問わない。
一般に、アプリケーション実行部から出力されたデータの書き込み要求はドライバが受信し、アプリケーション実行部からの書き込み要求に基づいて、ドライバがメモリコントローラに対してデータの書き込みを指示する。これに対し、本発明では、アプリケーション実行部101からの書き込み要求をフックして、共有メモリ監視部106において処理を実行する。
なお、上記実施形態によれば、図2に示す共有メモリ102へのデータの書き込みにかかる一連の処理が完了した後に、図3のS201〜S209に示す共有メモリ102から退避先メモリ104へのデータの退避にかかる一連の処理を実行することにより、共有メモリ102に書き込まれたデータを即座に退避先メモリ104に退避している。しかしながら、データの退避は、それ以外のタイミングで実行されてもよい。
この場合、共有メモリ監視部106がアプリケーション実行部101からデータ(本発明の「第1のデータ」に相当)の書き込み要求を受信し(S101)、この書き込み要求が指定する共有メモリ102の所定の領域のアクセス権情報が書き込み不可に設定されている場合(S102)、共有メモリ監視部106は、共有メモリ102の所定の領域に既に書き込まれているデータ(本発明の「第2のデータ」に相当)の退避要求を出力(S201)し、図3に示す一連の処理を実行する。そして、共有メモリ102から退避先メモリ104へとデータの退避が完了した後に、共有メモリ102へのデータの書き込み処理を実行する。
例えば、共有メモリ監視部106がアプリケーション実行部101からデータ(本発明の「第1のデータ」に相当)の書き込み要求を受信し(S101)、この書き込み要求が指定する共有メモリ102の所定の領域のアクセス権情報が書き込み可能に設定されている場合(S102)、S103、S104の処理が実行される。ここで、データの書き込み先である共有メモリ102の空き容量が、書き込まれるデータのデータサイズ「以下」の場合、S105における書き込み処理を実行することはできない。そこで、共有メモリ監視部106は、共有メモリ102に既に書き込まれているデータ(本発明の「第2のデータ」に相当)の退避要求を出力(S201)し、図3に示す一連の処理を実行する。
ここで、「以下」とは、比較対象を含む場合、含まない場合の両方を含む。
上記実施形態1によれば、共有メモリ102に書き込まれたデータをセキュア領域内の退避先メモリ104に退避させることによってデータを保護することが可能となる。しかしながら、メモリコントローラ108にデータの書き込みを要求するドライバ103がサイバー攻撃を受けた場合、ドライバ103がメモリコントローラ108に対して書き込みを要求して、共有メモリ102に書き込まれたデータを上書きしてしまうおそれがある。
上記実施形態1によれば、データを共有メモリ102から退避先メモリ104に退避することによってデータの保護を図ることができるが、退避先メモリ104の空き容量には限界がある。そのため、退避先メモリ104の空き容量が少ない場合、共有メモリ102から退避先メモリ104にデータが適切に退避できず、データが失われてしまうおそれがある。
例えば、アップロード実行部301は、電子制御装置30と、ストレージ501が設けられたサーバ50との間の通信帯域の使用率をモニタし、通信帯域の使用率が閾値以下になった場合に、データをストレージ501に転送してもよい。その他の例では、アップロード実行部301は、電子制御装置のセキュア領域に割り当てられたCPU資源の使用率をモニタし、CPU資源の使用率が閾値以下になった場合に、データをストレージ501に転送してもよい。例えば、電子制御装置30が車載器の場合、車両のエンジンが停止するとCPU資源の使用率は低下する。したがって、アップロード実行部301は、従来のガソリン車のイグニッション、あるいは、電気自動車又はハイブリッド車のパワースイッチがオフになったことを検知して、データをストレージ501に転送してもよい。
ここで、本発明の「失敗」とは、転送対象となるデータを退避先メモリからストレージに転送できないことをいい、データの一部のみがストレージに転送され、データの残りがストレージに転送されない場合や、転送処理自体を実行できない場合をも含む。
上記実施形態1では、アクセス制御情報保存部105に保存されているアクセス権情報が書き込み可能を示している場合にのみ、共有メモリ102にデータを書き込むことが可能であった。しかしながら、重要度や緊急性が高いデータについては、アクセス権情報にかかわらず、データを共有メモリ102に書き込むことが望ましい場合がある。例えば、本発明の電子制御装置が車載器の場合、車両が急ブレーキ、急加速、急ハンドルといった動作をしたことを示すログデータは、車両事故や車両故障の原因を特定するために有用なデータであり、重要性および緊急性が高いデータであるといえる。
そこで、電子制御装置が車載器の場合であって、車両が急ブレーキ、急加速、急ハンドルといった動作をしたり、あるいは、車両に何らかの異常が発生している場合には、アクセス制御情報保存部105に保存されている共有メモリ102に対するアクセス権情報を書き込み可能に設定して、重要性や緊急性の高いデータが確実に共有メモリ102に書き込まれるようにする。
ここで、本発明の「車両に発生した異常」とは、車載システム及び車載システムを構成する装置の異常が含まれることはもちろん、例えば、車両の急加速、急ハンドル、急ブレーキといった、車両の動作が正常ではないことをも含む。
以上、本発明の各実施形態における電子制御装置の特徴について説明した。なお、複数の実施形態およびその変形例の特徴を説明したが、各実施形態およびその変形例の特徴を2以上含むようにしてもよい。
Claims (17)
- 非セキュア領域とセキュア領域とを有する電子制御装置(10,20,30,40)であって、
前記非セキュア領域内の共有メモリ(102)と、
前記セキュア領域内の退避先メモリ(104)と、
前記共有メモリに対するアクセス権情報を保存するアクセス権情報保存部(105)と、
前記共有メモリへのデータの書き込み要求、及び前記共有メモリから前記退避先メモリへの前記データの退避要求を出力するとともに、前記データが前記共有メモリに書き込まれた場合、前記アクセス権情報を書き込み不可に設定し、前記データが前記共有メモリから前記退避先メモリに退避された場合、前記アクセス権情報を書き込み可能に設定する、共有メモリ監視部(106)と、
前記共有メモリ監視部からの前記書き込み要求または前記退避要求に基づいて、前記共有メモリへの前記データの書き込みまたは前記退避先メモリへの前記データの退避を実行するメモリコントローラ(108)と、
を備える、電子制御装置。 - 前記アクセス権情報保存部および前記共有メモリ監視部は前記セキュア領域に設けられている、
請求項1記載の電子制御装置。 - 前記共有メモリ監視部は、前記アクセス権情報が書き込み不可に設定された前記共有メモリへの第1のデータの書き込み要求をアプリケーションから受信した場合、前記共有メモリに書き込まれているデータである第2のデータの前記退避要求を出力する、
請求項1記載の電子制御装置(10)。 - 前記共有メモリ監視部は、前記アクセス権情報が書き込み可能に設定された前記共有メモリへの第1のデータの書き込み要求をアプリケーションから受信し、かつ、前記共有メモリの空き容量が前記第1のデータのデータサイズ以下の場合、前記共有メモリに書き込まれているデータである第2のデータの前記退避要求を出力する、
請求項1記載の電子制御装置(10)。 - 前記メモリコントローラはさらに、前記共有メモリへの前記データの書き込み要求を出力した当該電子制御装置のドライバの改ざん有無を判定し、前記ドライバの改ざんがないと判定した場合に前記共有メモリへの前記データの書き込みを実行する、
請求項1記載の電子制御装置。 - 当該電子制御装置はさらに、前記ドライバのプログラムが格納されているコード領域のハッシュ値の期待値を保存する期待値保存部(201)を備え、
前記メモリコントローラは、前記ドライバの前記コード領域のハッシュ値を算出し、前記期待値と算出した前記ハッシュ値とに基づいて前記ドライバの改ざん有無を判定する、
請求項5記載の電子制御装置(20)。 - 当該電子制御装置はさらに、
前記退避先メモリに退避された前記データを当該電子制御装置の外部に設けられたストレージに転送するアップロード実行部(301)を備える、
請求項1記載の電子制御装置(30)。 - 前記アップロード実行部は、前記ストレージへの前記データの転送が完了した後に前記退避先メモリから前記データを削除する、
請求項7記載の電子制御装置。 - 前記アップロード実行部は、前記退避先メモリの空き容量が閾値以下の場合に前記データを前記ストレージに転送する、
請求項7記載の電子制御装置。 - 前記アップロード実行部は、当該電子制御装置と前記ストレージとの間の通信帯域の使用率をモニタし、前記通信帯域の前記使用率が閾値以下の場合に前記データを前記ストレージに転送する、
請求項7記載の電子制御装置。 - 前記アップロード実行部は、当該電子制御装置の前記セキュア領域に割り当てられたCPU資源の使用率をモニタし、前記使用率が閾値以下の場合に前記データを前記ストレージに転送する、
請求項7記載の電子制御装置。 - 当該電子制御装置は車両に搭載される電子制御装置であり、
前記アップロード実行部は、前記車両のエンジンが停止した場合に前記データを前記ストレージに転送する、
請求項7記載の電子制御装置。 - 当該電子制御装置はさらに、当該電子制御装置に発生する異常を検出する異常検知部を備え、
前記アップロード実行部は、前記異常検知部が前記異常を検出した場合に前記データを前記ストレージに転送する、
請求項7記載の電子制御装置。 - 前記アップロード実行部は、前記ストレージへの前記データの転送が失敗した場合、前記転送が失敗したことを示すログを当該電子制御装置の外部に設けられたデータレコーダに書き込む、
請求項7記載の電子制御装置。 - 当該電子制御装置は、車両に搭載される電子制御装置であって、
前記車両の状態を示す自車両情報を取得する情報取得部(401)と、
前記自車両情報に基づいて、前記車両に発生した異常を検出する車両異常検出部(402)と、
をさらに備え、
前記共有メモリ監視部は、前記車両異常検出部が前記異常を検出した場合に、前記共有メモリに対するアクセス権情報を書き込み可能に設定する、
請求項1記載の電子制御装置(40)。 - アプリケーションから、電子制御装置の非セキュア領域に設けられた共有メモリへのデータの書き込みを要求する第1の書き込み要求を受信するステップと、
前記データの書き込みが要求された前記共有メモリに対するアクセス権情報を参照するステップと、
前記アクセス権情報が、前記共有メモリが書き込み可能であることを示している場合、前記共有メモリへの前記データの書き込みを要求する第2の書き込み要求を出力するステップと、
前記データが前記共有メモリに書き込まれると、前記アクセス権情報を書き込み不可に設定するステップと、
前記共有メモリから、前記電子制御装置のセキュア領域に設けられた退避先メモリへの前記データの退避を要求する退避要求を出力するステップと、
前記データが前記共有メモリから前記退避先メモリに退避されると、前記アクセス権情報を書き込み可能に設定するステップと、
を含む、データ保護方法。 - アプリケーションから、電子制御装置の非セキュア領域に設けられた共有メモリへのデータの書き込みを要求する第1の書き込み要求を受信するステップと、
前記データの書き込みが要求された前記共有メモリに対するアクセス権情報を参照するステップと、
前記アクセス権情報が、前記共有メモリが書き込み可能であることを示している場合、前記共有メモリへの前記データの書き込みを要求する第2の書き込み要求を出力するステップと、
前記データが前記共有メモリに書き込まれると、前記アクセス権情報を書き込み不可に設定するステップと、
前記共有メモリから、前記電子制御装置のセキュア領域に設けられた退避先メモリへの前記データの退避を要求する退避要求を出力するステップと、
前記データが前記共有メモリから前記退避先メモリに退避されると、前記アクセス権情報を書き込み可能に設定するステップと、
をコンピュータに実行させる、データ保護プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018027796A JP6969426B2 (ja) | 2018-02-20 | 2018-02-20 | 電子制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018027796A JP6969426B2 (ja) | 2018-02-20 | 2018-02-20 | 電子制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019144794A JP2019144794A (ja) | 2019-08-29 |
JP6969426B2 true JP6969426B2 (ja) | 2021-11-24 |
Family
ID=67773801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018027796A Active JP6969426B2 (ja) | 2018-02-20 | 2018-02-20 | 電子制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6969426B2 (ja) |
-
2018
- 2018-02-20 JP JP2018027796A patent/JP6969426B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019144794A (ja) | 2019-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6585019B2 (ja) | ネットワーク監視装置、ネットワークシステムおよびプログラム | |
KR101861455B1 (ko) | 향상된 프라이버시를 갖는 보안 차량 데이터 관리 | |
US8965626B2 (en) | Event data recording for vehicles | |
US10380057B2 (en) | Data storage device | |
JP4668656B2 (ja) | プログラムの書き換えシステム及びプログラムの書き換え方法 | |
US11080387B1 (en) | Validation of software residing on remote computing devices | |
JPWO2019216306A1 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
CN107949847B (zh) | 车辆的电子控制单元 | |
JP7172909B2 (ja) | 電子制御装置 | |
WO2021111681A1 (ja) | 情報処理装置、制御方法及びプログラム | |
US11841942B2 (en) | Anomaly detection device and anomaly detection method | |
US20200134186A1 (en) | Method and system for setting electronic controller security function | |
US11915027B2 (en) | Security and data logging of virtual machines | |
JP2013009370A (ja) | 車両ネットワーク用の安全なデータストア | |
JP6969426B2 (ja) | 電子制御装置 | |
JP7447905B2 (ja) | モビリティ制御システム、方法、および、プログラム | |
WO2021095483A1 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
JP2013171467A (ja) | 情報処理装置、車両用電子制御装置、データ読み書き方法 | |
JP6913869B2 (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
WO2017206191A1 (zh) | 数据存储方法及装置 | |
JP2009236026A (ja) | 車両情報記憶装置、装置情報データ記憶システム、装置情報データ記憶方法 | |
US20220360992A1 (en) | Control system | |
US20230114448A1 (en) | Vehicle and method of controlling the same | |
WO2023074072A1 (ja) | データ保存システム、移動体、及びデータ保存プログラム | |
CN117241981A (zh) | 控制装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201209 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210915 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210928 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211011 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6969426 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |