JP6973262B2 - 車両向けサービス提供システム、車載装置およびコマンド送信方法 - Google Patents

車両向けサービス提供システム、車載装置およびコマンド送信方法 Download PDF

Info

Publication number
JP6973262B2
JP6973262B2 JP2018079609A JP2018079609A JP6973262B2 JP 6973262 B2 JP6973262 B2 JP 6973262B2 JP 2018079609 A JP2018079609 A JP 2018079609A JP 2018079609 A JP2018079609 A JP 2018079609A JP 6973262 B2 JP6973262 B2 JP 6973262B2
Authority
JP
Japan
Prior art keywords
vehicle
command
information server
push
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018079609A
Other languages
English (en)
Other versions
JP2019192953A (ja
Inventor
真志 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2018079609A priority Critical patent/JP6973262B2/ja
Priority to CN201910292413.4A priority patent/CN110392036B/zh
Priority to US16/385,459 priority patent/US11218456B2/en
Publication of JP2019192953A publication Critical patent/JP2019192953A/ja
Application granted granted Critical
Publication of JP6973262B2 publication Critical patent/JP6973262B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Information Transfer Between Computers (AREA)
  • Traffic Control Systems (AREA)
  • Selective Calling Equipment (AREA)

Description

本発明は、車両向けサービス提供システム、車載装置およびコマンド送信方法に関する。
車載装置を用いて、ネットワークを介して車両と情報センタとの間でサービスの提供を行うシステムが提案されている。そのようなシステムが提供するサービスとしては、遠隔地からのドアロック等の車両操作、燃料残量などの車両状態の確認等の、車両のリモート制御等が含まれている。
例えば、特許文献1は、異なる車両に共通のサービスを提供するため、車載装置に情報を提供する情報提供システムにおいて、搭載された車両の車型ごとに異なる車載装置の作動に関する制御情報を保持する通信局を設けている。特許文献1の車載装置は、車載装置のIDと、搭載された車両の車型とを、通信局に送信して登録する。通信局は、車載装置からの要求に応じて、車載装置から受信した車型に対応した制御情報を、車載装置に送信している。
また、従来、ネットワークに接続された車両内の制御装置等のセキュリティを確保するための種々の提案がなされている。
例えば、特許文献2は、車両用途に限定されないが、コンピュータネットワークを介して、装置に組み込まれたコンピュータ(組込み機器)にアクセスしようとする機器(クライアント)がある場合の安全を確保したアクセス方法について開示している。特許文献2によれば、クライアントは組込み機器に対して、セキュリティブローカを介してアクセスする。また、ネットワーク上にトラストマネージャを設け、このトラストマネージャが、クライアントおよびセキュリティブローカの有効性および相互に接続が認可されるかを判断した後、クライアントとセキュリティブローカとの接続を確立するようにしている。
また、特許文献3は、不正な車載ECUが車載ネットワークに接続された結果、車載ネットワークが攻撃されるという危険性に対応する車載ネットワークシステムについて開示するものである。この車載ネットワークシステムでは、通信規約発行装置を設け、車両外部に対して秘匿された車両独自プロトコルを定義した定義データを、この通信規約発行装置から各ECUに配信する。通信規約発行装置は、全ECUに対して配信した定義データに関連した一斉動作要求をブロードキャストして、この一斉動作要求に従わないECUを不正ECUの可能性があるものと判断して警告を発する。
特許文献4は、車両の遠隔に位置するセンタから、車両の搭乗者による車両状態の把握、および、車載機器の操作を支援する車両遠隔支援システムに関する。特許文献4は、センタからの要求により自動的に車両からセンタへの情報の送信が行われることを、セキュリティ上問題があるとし、車両の搭乗者の承諾操作がなければ、情報センタから車両の遠隔操作が行われないようにしている。
特開2007−15503号公報 特開2008−510205号公報 特開2013−168865号公報 特開2017−4116号公報
遠隔地から、車両にメッセージを送信し、または、車両の制御装置を操作することができるシステムでは、遠隔地の情報センタから任意のタイミングでメッセージまたは操作命令を送ることができることが好ましい。例えば、情報センタが目的地の変更を車載装置に伝えるような場合、そのような情報は情報が発生したタイミングで車両に伝達されることが望ましい。これに対して、特許文献1の情報提供システムでは、車両ユーザが情報センタに遠隔操作を要求したとき、情報センタが車両に対して操作命令を送信するようになっている。したがって、特許文献1の情報提供システムでは、情報センタ側から任意のタイミングでメッセージを送信することができない。特許文献2から4に開示されたシステムおよび方法においても、いずれも、情報センタ等の外部から、任意のタイミングで車載装置に対して情報を送信することについては開示していない。
また、車両に対して遠隔地からの操作を行う装置は、車両のナビゲーション装置に登録された目的地を変更すること、車両の空調装置の温度設定を変更すること、および、車載装置のアプリケーションを更新することなど、車両内の制御装置に関わる操作をすることが想定される。そのような場合、外部の不正な第3者からの不正なコマンドを受信して、車両の制御装置が不正に操作されることは許されない。
また、今日、インターネットなどのネットワークを介して外部から種々の情報を自由に取得できるようになっている。車両内においても、ユーザがインターネットに接続して、目的地の情報を取得したり、周辺の飲食店の情報を検索したりするなどのニーズがある。しかし、車載装置をインターネットに接続可能とすることによって、外部からネットワークを介して車載装置に不正な情報送信を受け、その結果車両の制御装置に影響が及ぶことは許容できない。
特許文献1は、このような通信のセキュリティを確保する方法については開示していなかった。特許文献2に記載のアクセス方法では、一度外部の機器と組込み機器との間での接続が認可されると、その後の外部機器から組込み機器へのアクセスは許容される。このため、外部機器から受け取る制御情報の内容に応じてセキュリティを設定することはできなかった。また、特許文献3の車載ネットワークシステムは、車両内のEUC間の通信のセキュリティを確保することを対象としている。このため、外部ネットワークからの不正な制御命令への対応はできなかった。さらに、特許文献4の車両遠隔支援システムは、車両の搭乗者が情報センタからのアクセスの許諾を判断するので、センタから多数のコマンドが車載装置に対して送信されてくるような場合には、搭乗者による操作が煩雑になる虞がある。
かかる事情に鑑みてなされた本発明の目的は、車両に対して任意のタイミングでコマンドを送信することができ、且つ、車両側でコマンドに応じてセキュリティを確保しながら各コマンドを実行することができる車両向けサービス提供システム、該車両向けサービス提供システムに含まれる車載装置、および、コマンド送信方法を提供することにある。
上記課題を解決するため、本開示の車両向けサービス提供システムは、車両に搭載され、該車両内の制御装置に作用するコマンドを受け付け可能な車載装置と、前記車載装置に対して、前記コマンドを送信可能な車両情報サーバと、前記車両情報サーバから前記車載装置への前記コマンドの送信を仲介するプッシュ情報サーバとを備える。前記車載装置、前記車両情報サーバおよび前記プッシュ情報サーバは、それぞれ通信ネットワークに接続される。前記コマンドには予めコマンドごとに規定されたセキュリティレベルが設定される。前記車両情報サーバは、前記コマンドに対し前記セキュリティレベルに対応した暗号化を行い、該暗号化されたコマンドの送信を前記プッシュ情報サーバに依頼する。前記車載装置は、前記プッシュ情報サーバからのみ前記暗号化されたコマンドを受信するように、前記プッシュ情報サーバからのコマンドを待受ける。前記車載装置は、前記プッシュ情報サーバを経由して前記車両情報サーバから前記暗号化されたコマンドを受信し、受信した前記暗号化されたコマンドを復号する。前記車載装置は、該コマンドに予め設定された前記セキュリティレベル以上のセキュリティレベルに対応する暗号化がされていた場合のみ、前記コマンドを実行する。
さらに、本開示に係る車両向けサービス提供システムにおいて、前記車両情報サーバは、前記車載装置からの要求を受けることなく、所定の条件に基づいて前記コマンドを生成して前記車載装置に対して送信可能であることを特徴とする。
さらに、本開示に係る車両向けサービス提供システムにおいて、前記車載装置は、前記コマンドの受信、復号および実行を行う第1処理部と、前記車両情報サーバまたは他のサーバとの間で前記車両内の制御装置に作用しない通信のみを行う第2処理部とを備えることを特徴とする。
さらに、本開示に係る車両向けサービス提供システムにおいて、前記セキュリティレベルは、2以上にレベル分けされていることを特徴とする。
さらに、本開示に係る車両向けサービス提供システムにおいて、前記車載装置は、前記車両情報サーバに対して、前記車両内の前記制御装置に作用する要求を送信可能に構成され、前記車両情報サーバは、前記車載装置からの前記要求を受信したとき、該要求に対応する前記コマンドを前記車載装置に送信可能に構成されることを特徴とする。
さらに、本開示に係る車両向けサービス提供システムは、携帯端末を備え、該携帯端末
は、前記車両情報サーバに対して、前記車両内の前記制御装置に作用する要求を送信可能
に構成され、前記車両情報サーバは、前記携帯端末からの前記要求を受信したとき、該要
求に対応する前記コマンドを前記車載装置に送信可能に構成されることを特徴とする。
さらに、本開示に係る車両向けサービス提供システムにおいて、前記車両情報サーバは、前記車載装置に対して、2つ以上の前記コマンドを1つの送信単位として送信可能であり、該送信単位に対して、該送信単位に含まれるコマンドの中で最もセキュリティレベルが高いコマンドのセキュリティレベルに対応した暗号化を行うことを特徴とする。
上記課題を解決するため、本開示の車載装置は、車両に搭載された車載装置であって、外部の車両情報サーバにより生成された、前記車両内の制御装置に作用するコマンドであって、セキュリティレベルに対応した暗号化が行われたコマンドを受け付け可能な第1処理部を備える。前記セキュリティレベルは、前記コマンドに対し予めコマンドごとに規定されたものである。前記第1処理部は、プッシュ待受部と、復号部と、セキュリティ判定部と、コマンド実行部とを含む。前記プッシュ待受部は、通信ネットワークで接続されたプッシュ情報サーバからのコマンドを待受け、前記プッシュ情報サーバを経由して前記車両情報サーバから前記暗号化されたコマンドを受信する。前記復号部は、受信した前記暗号化されたコマンドを復号する。前記セキュリティ判定部は、前記コマンドに予め設定された前記セキュリティレベル以上のセキュリティレベルに対応する暗号化がされていた場合のみ、前記コマンドを実行可能と判定する。前記コマンド実行部は、実行可能とされた前記コマンドを実行する。前記第1処理部は、前記プッシュ情報サーバからのみ前記暗号化されたコマンドを受信可能に構成されることを特徴とする。
さらに、本開示に係る車載装置は、前記車両情報サーバまたは他のサーバとの間で前記車両内の制御装置に作用しない通信のみを行う第2処理部をさらに備えることを特徴とする。
上記課題を解決するため、本開示のコマンド送信方法は、それぞれ通信ネットワークに接続された、車載装置、車両情報サーバおよびプッシュ情報サーバを含む車両向けサービス提供システムにおける、前記車両情報サーバから前記車載装置へのコマンド送信方法であって、前記車載装置が、前記プッシュ情報サーバから、車両内の制御装置に作用するコマンドの受信を待受けるステップと、前記車両情報サーバが、送信するコマンドに対し予めコマンドごとに規定されたセキュリティレベルに対応した暗号化を行い、該暗号化されたコマンドの送信を前記プッシュ情報サーバに依頼するステップと、前記プッシュ情報サーバが、前記暗号化されたコマンドを前記車載装置に送信するステップと、前記車載装置が、受信した前記暗号化されたコマンドを復号し、該コマンドに予め設定された前記セキュリティレベル以上のセキュリティレベルに対応する暗号化がされていた場合のみ、前記コマンドを実行するステップとを含むことを特徴とする。
本発明によれば、車両に対して任意のタイミングでコマンドを送信することができ、且つ、車両側でコマンドに応じたセキュリティを確保しながら各コマンドを実行することができる車両向けサービス提供システム、該車両向けサービス提供システムに含まれる車載装置、および、コマンド送信方法を提供することができる。
一実施形態に係る車両向けサービス提供システムの概略構成を示すブロック図である。 図1の車載機の概略構成を示すブロック図である。 図1の車両情報サーバの概略構成を示すブロック図である。 コマンドの構成の一例を示す図である。 図1のプッシュ情報サーバの概略構成を示すブロック図である。 情報センタまたはユーザ端末を起点とするコマンド送信のフローを示す図である。 車載機を起点とするアプリケーションインストールのフローを示す図である。
以下、本開示の一実施形態について、図面を参照して説明する。
(車両向けサービス提供システムの全体構成)
本開示の車両向けサービス提供システム100について、図1を参照して説明をする。車両向けサービス提供システム100は、車載機10(車載装置)、車両情報サーバ20およびプッシュ情報サーバ30を含んで構成される。車載機10は車両1に搭載される。車両情報サーバ20は、情報センタ2に配置することができる。プッシュ情報サーバ30はブローカ3と呼ばれるセンタに配置されることができる。プッシュ情報サーバ30は、車両情報サーバ20と同じ情報センタ2に配置してもよい。
車両1、情報センタ2およびブローカ3は、それぞれ、第1記憶部11、第2記憶部21および第3記憶部31を有する。第1記憶部11、第2記憶部21および第3記憶部31は、半導体記憶装置、磁気記憶装置、光記憶装置を含む。半導体記憶装置は、フラッシュメモリを用いたSSD(Solid State Drive)等が含まれる。磁気記憶装置は、磁気テープ、フロッピー(登録商標)ディスク、ハードディスク等およびこれらの駆動装置が含まれる。光記憶装置は、例えばCD(Compact Disc)、DVD(Digital Versatile Disc)、およびブルーレイ(Blu-ray(登録商標))等およびこれらの駆動装置が含まれる。第1記憶部11、第2記憶部21および第3記憶部31は、データベース管理システムにより管理されたデータベースであってよい。データベースには、リレーショナルデータベース(RDB:Relational Database)、オブジェクト・リレーショナル・データベース(ORDB:Object-Relational Database)、ならびに、キー・バリュー型およびカラムストア型等のNoSQLデータベース等を含む。第1記憶部11、第2記憶部21および第3記憶部31は、それぞれ、車載機10、車両情報サーバ20およびプッシュ情報サーバ30に内蔵されてよい。第1記憶部11、第2記憶部21および第3記憶部31は、それぞれ、車載機10、車両情報サーバ20およびプッシュ情報サーバ30とは別のハードウェアに搭載されたデータベースであってもよい。以下では、第1記憶部11、第2記憶部21および第3記憶部31は、それぞれ、車載機10、車両情報サーバ20およびプッシュ情報サーバ30に内蔵されているものとして説明する。
車載機10、車両情報サーバ20、および、プッシュ情報サーバ30は、インターネットなどの通信ネットワーク5を介して接続される。なお、通信ネットワーク5は、インターネットに限られず、閉域網またはVPN(Virtual Private Network)等としてもよい。
車両向けサービス提供システム100は、さらに車両外ユーザ4の有するユーザ端末40を含むことができる。ここで、車両1に搭乗していない状態の利用者のことを、「車両外ユーザ4」とよぶ。また、車両1に搭乗中の利用者を含む一般的な意味での利用者のことを、単に「ユーザ」とよぶ。運転前に、ユーザ端末40を使用して、運転の目的地を設定する運転者は、車両外ユーザ4である。通信ネットワーク5には、インターネットのサイト等種々の外部サーバ6が接続されてよい。以下に、車両向けサービス提供システム100の各部を詳細に説明する。
車両1は、車載機10に加え、通信機12、複数の制御装置13、ならびに、車載機10および各制御装置13間を接続する車両内通信回線14を備える。本願において、車両1には乗用車、トラック、バス、大型・小型特殊自動車等を含むが、これらに限られない。車両1には、将来的に実現される種々のタイプの車両を含む。例えば、車両1は、自動運転車両、無人運転車両、水陸両用車両、および、空陸両用車両等を含む。
車載機10は、通信機12を介して外部との情報の送受信が可能な車載情報端末である。車載機10は、ダッシュボードの中、車室内の任意の場所、および、ラゲッジルーム等を含む種々の場所に配置することができる。車載機10は、これらの場所に分散して配置されてよい。
車載機10は、情報センタ2の車両情報サーバ20から、ブローカ3のプッシュ情報サーバ30を経由して制御装置13に作用するコマンドを受け付けることができる。本願において、「作用」は、装置の起動および制御を含む、何らかの影響を与える動作を意味する。車載機10は、車両情報サーバ20との間で送受信するデータを管理する。また、車載機10は、車両1上の制御装置13の状態を取得し、操作することができる。さらに、車載機10は、通信ネットワーク5上に接続された外部サーバ6からHTTP(Hypertext Transfer Protocol)およびHTTPS(Hypertext Transfer Protocol Secure)などのプロトコルにより情報を取得するウェブブラウザの機能を有してよい。なお、本開示において、コマンドは、車載機10側からのリクエストに対して返される応答ではなく、車両情報サーバ20から非同期に発せられる車載機10への指示であって、受信した車載機10による何らかの動作を求めるものである。
通信機12は、通信ネットワーク5に対して車載機10を無線接続する無線通信機である。図1に図示の例では、通信機12は、車載機10とは別体で構成される。通信機12は、車両内通信回線14に接続されてもよい。また、通信機12は、車載機10と一体として構成することもできる。車載機10から通信ネットワーク5に接続する方法としては、第3世代移動通信システム(3G)、LTE(Long Term Evolution)等の第4世代移動通信システム(4G)、第5世代移動通信システム(5G)、Wi−Fi(登録商標)、WiMAX(Worldwide Interoperability for Microwave Access)、および、専用狭域通信(DSRC:Dedicated Short Range Communication)等による方法を挙げることができるが、これらに限られない。通信機12は、送信信号をプロトコル処理してベースバンド信号とし、これを無線通信周波数帯域内の高周波電気信号に変調する。また、通信機12は、外部からアンテナを介して受信した高周波電気信号をベースバンド信号に復調して、プロトコル処理をする。通信機12は、種々の変調方式を用いることができる。変調方式には、振幅変調(ASK::Amplitude Shift Keying)、位相変調(PSK:(Phase Shift Keying)、周波数変調(FSK:Frequency Shift Keying)、直角位相振幅変調(QAM:Quadrature Amplitude Modulation)、および、直交周波数分割多重変調(OFDM:Orthogonal Frequency-Division Multiplexing)等の種々の方式が含まれうる。通信機12は、高周波ICおよびベースバンドLSI等のICを含んで構成されてよい。
制御装置13は、車両1上の各装備を制御する電子制御装置(ECU:Electronic Control Unit)である。車両1上の装備には、エンジン、モーター、ブレーキ、トランスミッション、電子キー、パワーウィンドウ、エアコン、ランプ、ミラー、カーオーディオ、ナビゲーションシステム、ならびに、各種センサおよびレーダを含む安全システム等を含むが、これらに限られない。各電子制御装置は、CAN(Controller Area Network)(登録商標)などの車両内通信回線14を介して相互に接続される。車両内通信回線14に接続される各制御装置13は、車両内通信回線14に不正なフレームが送信された場合等のセキュリティ対策として、内部に認証用または暗号化のため鍵を有することができる。制御装置13は、この鍵を用いて通信用の暗号鍵を生成することができる。
車両内通信回線14は、車両1内の制御装置13等の機器を高速で接続する通信回線である。車両内通信回線14は、電子制御装置等のCANの各ノードを接続するCANバスとすることができる。車両内通信回線14は、CANに限られず、LIN(Local Interconnect Network)、FlexRay(登録商標)、車載Ethernet(登録商標)、および、MOST(Media Oriented System Transport)等の通信回線とすることができる。また、車両内通信回線14は、バス型に限られず、スター型、リング型等種々のトポロジの配線を採用しうる。
(車載機の構成)
車載機10について、図2を参照してさらに説明する。車載機10は、第1記憶部11と第1情報処理部15と表示装置19とを含む。
車載機10の第1記憶部11は、車載機10、特に、後述する外部連携部17が動作するための種々の情報を格納している。第1記憶部11は、通信用のIDとして自車両(車両1)の車両ID、情報センタ2のID、ブローカ3のID、複数の通信用の暗号鍵、コマンドごとの予め規定されたセキュリティレベル等の情報を保持する。車両1の車両ID、情報センタ2のIDおよびブローカ3のIDは、それぞれ、車載機10のID、車両情報サーバ20のID、プッシュ情報サーバ30のIDと言い換えることができる。
車両1のIDは、例えば、車両1の製造時等に車両1に割り当てることができる。情報センタ2のIDは、車両1の製造時に予め決定することができる。または、情報センタ2のIDは、車両1のユーザが情報センタ2と契約する際に取得してもよい。ブローカ3のIDは、予め車両1の製造時に決定することができる。ブローカ3のIDは、車両1のユーザが情報センタ2と契約する際に情報センタ2から取得してよい。あるいは、ブローカ3のIDは、ユーザが情報センタ2と契約した後初めてサービスを使用する前に、車載機10が適当なタイミングで、車両情報サーバ20にアクセスして取得してよい。ブローカ3は、情報センタ2により信用が保証されたブローカ3である。
第1情報処理部15は、外部情報閲覧部16(第2処理部)、外部連携部17(第1処理部)、1つ以上の機能実行部18の各機能ブロックを含む。第1情報処理部15は、単一の、または、複数のプロセッサとメモリとを含んで構成される。プロセッサには、特定のプログラムを読み込ませることにより、プログラムされた機能を実行する汎用プロセッサおよび、特定の処理に特化した専用プロセッサが含まれる。専用プロセッサとしては、DSP(Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)およびFPGA(Field-Programmable Gate Array)等を採用しうる。メモリは、プロセッサの実行するプログラム、および、プロセッサによる演算中の情報等を記憶することができる。メモリとプロセッサとは、データバスおよび制御バス等のバスラインで接続される。メモリは、ROM(read only memory)、RAM(Random Access Memory)、フラッシュメモリ、等を含みうる。RAMにはDRAM(Dynamic Random Access Memory)とSRAM(Static Random Access Memory)とが含まれる。
外部情報閲覧部16は、通信ネットワーク5を介してインターネットのサイト等外部サーバ6に接続して、その表示および操作機能をユーザに提供する。外部情報閲覧部16は、HTTPおよびHTTPS等のプロトコルに対応し、外部サーバ6から情報を取得する。外部サーバ6から取得した情報は、表示装置19を用いて表示することができる。外部情報閲覧部16は、インターネット上でのサイト閲覧に使用されるウェブブラウザとすることができる。
外部情報閲覧部16(第2処理部)は、公知の方法により第1情報処理部15の他の部分から論理的に分離される。公知の方法としては、仮想化によるCPU等の資源の分離が含まれる。外部情報閲覧部16は、第1情報処理部15の他の部分から独立した仮想マシン上で実現することができる。また、外部情報閲覧部16は、車載機10の外部連携部17および機能実行部18とは直接連携しない。外部情報閲覧部16は、車両情報サーバ20または他の外部サーバ6との間で車両1内の制御装置13に直接作用しない通信のみを行う。すなわち、外部情報閲覧部16は、独立したインターネット閲覧用端末のように動作する。そのため、仮に、外部情報閲覧部16を用いて不正なソフトウェアがダウンロードされた場合、または、外部情報閲覧部16が外部からの攻撃を受けた場合でも、第1情報処理部15の他の部分は影響を受けない。したがって、ユーザは、制御装置13の安全を確保しながら、外部サーバ6に対して自由な情報閲覧をすることができる。
外部連携部17(第1処理部)は、ブローカ3のプッシュ情報サーバ30を介して、車両情報サーバ20からのみ暗号化されたコマンドを受信する。外部連携部17は、プッシュ情報サーバ30以外の外部からの情報の受信を受け付けない。車両情報サーバ20から外部連携部17へ送信されるコマンドは、プッシュ方式により任意のタイミングで送信される。すなわち、外部連携部17が、車両情報サーバ20に対してリクエストを送信して車両情報サーバ20がこれに応答する形式ではなく、車両情報サーバ20を起点として非同期に外部連携部17へのコマンドが送信される。本開示において、送信用の情報が発生したとき、受信側からのリクエストに応答する形式ではなく、送信側が発生した情報を非同期で送信する送信形態を「プッシュ送信」とよぶ。外部連携部17は、受信したコマンドを復号し、セキュリティを判定して問題が無ければ、コマンドを実行する。コマンドの実行は、各制御装置13に対応した機能実行部18にコマンドの内容を受け渡すことによって行う。
外部連携部17は、プッシュ待受部171、復号部172、セキュリティ判定部173およびコマンド実行部174の各機能ブロックを含む。外部連携部17を構成する各機能ブロックは、結合、分離および組み換えが可能である。外部連携部17の各機能ブロックが行う処理は、外部連携部17または車載機10が実行するものと言い換えることができる。
プッシュ待受部171は、通信ネットワーク5で接続されたプッシュ情報サーバ30に車両1の識別情報である車両IDを送信し、プッシュ情報サーバ30からのコマンドを待受けるプッシュ待受け状態になることができる。プッシュ待受部171は、プッシュ待受状態のとき、プッシュ情報サーバ30を経由して車両情報サーバ20から暗号化されたコマンドを受信することができる。プッシュ待受部171は、プッシュ情報サーバ30との間で安全な通信を行うための接続を確立して待受け状態となる。ひとたび接続が確立すると、プッシュ待受部171は、接続を維持したままプッシュ情報サーバ30から複数のプッシュ送信を断続的に受信することができる。また、プッシュ待受部171は、車載機10が処理を終了するとき、プッシュ待受け状態を解除し、プッシュ情報サーバ30に対してプッシュ待受け状態の終了を通知する。プッシュ待受部171は、車両1のACC電源(アクセサリー電源)がオフになったことをトリガとして、プッシュ待受け状態を解除してよい。
なお、プッシュ情報サーバ30からプッシュ待受部171へのプッシュ送信の実現方法としては、公知の方法を用いることができる。公知の方法としては、例えば、HTTPサーバとクライアントの間で利用されるSSE(Server-Sent Event)またはWebSocketに類似した技術を採用しうる。また、ロングポーリング(Long Polling)のような疑似的なプッシュ機構を利用することもできる。この場合、プッシュ待受部171が、プッシュ情報サーバ30に対してリクエストを送信し、プッシュ情報サーバ30は送信コマンドが発生するまでレスポンスを留保する。
車両情報サーバ20から送信されるコマンドは、コマンドの種別に応じて予め規定されたセキュリティレベルに応じた暗号化がなされている。復号部172は、プッシュ待受部171で受信した暗号化されたコマンドを復号する。このため、復号部172は、コマンドを復号するための通信用の暗号鍵を有する。
セキュリティ判定部173は、セキュリティレベルに応じた認証を行う。すなわち、セキュリティ判定部173は、コマンドに予め設定されたセキュリティレベル以上のセキュリティレベルに対応する暗号化がなされていた場合のみ、コマンドを実行可能と判定する。
コマンド実行部174は、セキュリティ判定部173で実行可能と判定されたコマンドについて、機能実行部18に受け渡して、機能実行部18の機能を実行させる。
機能実行部18は、車両情報サーバ20からのコマンドに従って、対応する制御装置13の操作を行う。機能実行部18は、一つまたは複数の制御装置13に対応する。例えば、ナビゲーションシステムの制御装置13に対応する機能実行部18は、車両情報サーバ20から目的地変更を通知するコマンドを受けて、ナビゲーションシステムの表示画面上での表示または音声により、目的地の変更をユーザに知らせる。また、例えば、シートを制御する制御装置13に対応する機能実行部18は、車両情報サーバ20から、シートの前後位置、傾き、座面高さ、ベンチレーションの強さ等を調整するコマンドを受けて、シートの位置および姿勢等を調整する。各機能実行部18は、対応する制御装置13に応じて固有のコマンドを有する。
表示装置19は、第1情報処理部15からの画像信号に基づいて表示画像を表示する表示装置である。表示装置19は、例えば、液晶ディスプレイ(LCD:Liquid Crystal Display)、有機EL(Electro-Luminescence)ディスプレイ、無機ELディスプレイ、プラズマディスプレイ(PDP:Plasma Display Panel)、電界放出ディスプレイ(FED:Field Emission Display)、電気泳動ディスプレイ、ツイストボールディスプレイ等の種々のディスプレイを採用しうる。表示装置19の表示面は、情報を入力するためのタッチパネルと一体として構成されうる。タッチパネルは、表示装置19の表示内容と連動して入力を受け付ける。タッチパネルとしては、静電容量方式、抵抗膜方式、表面弾性波方式等種々の方式のものを採用しうる。
暗号鍵は、車載機10が車両情報サーバ20と通信を行うための暗号化に用いる鍵である。車両情報サーバ20は、車載機10の暗号鍵に対応した鍵を有する。暗号鍵は、共通鍵暗号方式を使用する場合の共通鍵であってもよく、公開鍵暗号方式を使用する場合の秘密鍵であってもよい。車両1に固有の鍵の情報が、情報センタ2との間で共有されてよい。車載機10は、制御装置13が有する鍵に基づいて通信用の暗号鍵を生成してよい。情報センタ2は、車両1の有する鍵の情報を予め取得しておいてよい。または、車載機10と車両情報サーバ20との間では、安全を確保した方法で暗号鍵の交換が行われてよい。暗号鍵は、セキュリティレベルに応じて複数用意される。暗号鍵は、セキュリティレベルに応じて、鍵の長さが異なってよい。
(情報センタの構成)
情報センタ2は、車両1の車載機10に対して、遠隔地から種々のサービスを提供する。情報センタ2は、車載機10とデータの送受信を行うことができる。情報センタ2が提供するサービスには、車両1の制御装置13に対する操作を伴うものを含む。情報センタ2は、車載機10に対して制御装置13に作用する操作を行う場合、安全の確保されたブローカ3のプッシュ情報サーバ30を介してコマンドを送信する。情報センタ2は、車両情報サーバ20、通信機構22、ポータルサーバ23、および、契約管理サーバ24を含む。情報センタ2の各構成要素は、LAN26等により接続される。
車両情報サーバ20は、車両1の状態を管理し、車載機10のユーザの要求に応じて車両1へコマンドを送信する。車両1の状態は、車両1の有する装備、車両1において実行できる機能、インストール可能なアプリケーション等の情報を含む。また、車両1の状態は、車両情報サーバ20が車両1に提供するサービスに関連した情報を含む。例えば、車両情報サーバ20が、リアルタイムで車両1のナビゲーションを支援する場合、車両1の状態には、車両1の現在地および目的地の情報が含まれる。
通信機構22は、通信ネットワーク5とLAN26とを相互接続する。通信機構22は、有線または無線により通信ネットワーク5に接続される。通信機構22が有線によりネットワークに接続される場合、通信機構22は、ONU(Optical Network Unit)、DSU(Digital Service Unit)、ケーブルモデム、または、ADSLモデム等の通信機およびルーター等を含む。通信機構22が無線によりネットワークに接続される場合、通信機構22は、無線通信機およびアンテナ等を含む。通信機構22は、通信ネットワーク5を介して車両1またはユーザ端末40からの要求を受信することができる。また、通信機構22は、車両情報サーバ20からの送信コマンドをプッシュ情報サーバ30へ中継することができる。
ポータルサーバ23は、車両情報サーバ20および契約管理サーバ24等のバックエンドのシステムからの情報を統合して、車載機10のユーザおよびユーザ端末40の車両外ユーザ4に対して表示する。ポータルサーバ23は、外部情報閲覧部16およびユーザ端末40から、通常のウェブサイトと同様にHTTPおよびHTTPS等のプロトコルによりアクセスすることが可能である。ポータルサーバ23は、通常のウェブサイトと同様のリクエスト−レスポンス型の情報提供をすることができる。
また、ポータルサーバ23は、ユーザが車載機10に対して制御装置13に作用するような操作を要求するための、ユーザインタフェースとしても機能する。すなわち、車載機10のユーザおよびユーザ端末40を操作する車両外ユーザ4は、インターネットのウェブサイトと同様のユーザインタフェースを用いて、車載機10への特定の機能の起動および特定のアプリケーションのインストール等の操作を要求することができる。ポータルサーバ23の提供する画面上で、制御装置13に作用するような操作が要求されると、ポータルサーバ23は、その操作要求を車両情報サーバ20の後述するプッシュ要求受付部271に引き渡す。
契約管理サーバ24は、契約者ごとの契約内容を管理する。契約者にはユーザIDが割り当てられる。契約管理サーバ24は、ユーザIDと車両IDとを関連付けて管理する。例えば、車両外ユーザ4がユーザ端末40を用いて、車両情報サーバ20のサービスを利用しようとするとき、ユーザ端末40から車両情報サーバ20にはユーザIDが通知される。車両情報サーバ20は、契約管理サーバ24に問い合わせることによって、ユーザIDと車両IDとを関連付けることができる。
また、契約管理サーバ24は、車両情報サーバ20に対して、契約上の利用可能な機能、および、イントール可能なアプリケーションの情報等を提供する。例えば、車載機10のユーザが、ポータルサーバ23の画面からアプリケーションのインストールを選択したとき、車両情報サーバ20は、ユーザがそのアプリケーションを利用可能か否か契約管理サーバ24に問い合わせをする。そのアプリケーションが、契約上利用できない場合、契約管理サーバ24は、その旨を車両情報サーバ20に通知する。車両情報サーバ20は、ポータルサーバ23の画面上で、「このアプリケーションはインストールできません」のような表示を行う。
契約管理サーバ24は、契約情報を管理するための第4記憶部25を有する。第4記憶部25には、契約者情報を管理するデータベースであってよい。各契約者の情報には、ユーザID、車両ID、ユーザ端末40を使用する時のパスワード等の認証情報、契約者個人情報、契約期限、使用可能な機能およびインストール可能なアプリケーションを含む契約内容等の情報が格納される。
(車両情報サーバの構成)
次に、図3を参照して、車両情報サーバ20についてさらに説明する。
車両情報サーバ20は、第2記憶部21と第2情報処理部27とを含む。
車両情報サーバ20の第2記憶部21は、第2情報処理部27が動作するための種々の情報を格納している。第2記憶部21は、車両情報サーバ20に登録される車両1ごとの車両ID、各車両1が使用するブローカ3のID、各車両1に設定されるそれぞれ複数の通信用の暗号鍵、コマンドごとの予め規定されたセキュリティレベル等の情報を保持する。通信用の暗号鍵の情報は、各車両1との間で共有される。暗号鍵は、共通鍵暗号方式を使用する場合の共通鍵であってもよく、公開鍵暗号方式を使用する場合の車載機10から提供される公開鍵であってもよい。
さらに、第2記憶部21は、車両情報サーバ20に登録されている各車両1の状態を格納する。車両1の状態は、各車両1の現在地、目的地、保有する装備、実行中の機能、実行可能な機能、搭載中のアプリケーション等の情報を含む。
第2情報処理部27は、第1情報処理部15と同様に、単一の、または、複数のプロセッサとメモリとを含んで構成される。第2情報処理部27は、プッシュ要求受付部271、コマンド生成部272、暗号化部273、プッシュ送信依頼部274、および、車両情報管理部275の各機能ブロックを含む。第2情報処理部27を構成する各機能ブロックは、結合、分離および組み換えが可能である。第2情報処理部27の各機能ブロックが行う処理は、第2情報処理部27または車両情報サーバ20が実行するものと言い換えることができる。
プッシュ要求受付部271は、車載機10の制御装置13の操作要求、および、車両情報サーバ20に対する問い合わせ要求等の要求を、ポータルサーバ23、車両情報管理部275、および、ユーザ端末40等から受け付ける。
コマンド生成部272は、制御装置13の操作要求に従って、コマンドを生成することができる。高頻度でコマンドが発生する場合、コマンドは、例えば、図4に示すように、複数のコマンドをまとめて1つの送信単位とすることができる。図4のコマンド構成は、一例である。コマンドは、1つずつ順次送信してもよい。図4において、「セキュリティレベル」は個別のコマンドのセキュリティレベルであり、「全体セキュリティレベル」は、一つの送信単位に含まれる複数のコマンドの中で、最高のセキュリティレベルである。
コマンドのセキュリティレベルは、各コマンドに予め設定され、車載機10および車両情報サーバ20の間で共有されている。コマンドのセキュリティレベルは、車両1のセキュリティに対する重要度に基づいて、2以上のレベルにレベル分けされる。例えば、セキュリティレベルは、セキュリティレベルが低い方から順に、Lv0〜Lv3までの4段階とすることができる。例えば、Lv0は、制御装置13からの情報の読み出しのみを行う。例えば、Lv1は、制御装置13の起動操作のみを行う。例えば、Lv2は、制御装置13の特定の動作を起動させる。例えば、Lv3は、車両1内の他のECUへの通信を含む動作をさせる。また、セキュリティレベルは、制御装置13の種類に応じて個別に設定できる。例えば、車両1の制動に関わる制御装置13を操作するコマンドは、常に最高のセキュリティレベルとすることができる。
例えば、図4において、1つの送信単位の中に、3つのコマンドが含まれる場合、図4の「コマンド数」には、1つの送信単位に含まれるコマンドの数「3」が入力される。TTL以下の構成要素は、それぞれのコマンドについて繰り返される。「全体セキュリティレベル」は、3つのコマンドの「セキュリティレベル」が、それぞれ、Lv0、Lv1、およびLv3の場合は、最高レベルである「Lv3」となる。
図4のコマンド構成は、1つの送信単位の全体に、改変または破損が無いことを検証するためのハッシュ値「ハッシュ」を含む。さらに、図4のコマンド構成は、各コマンドに改変または破損がないことを検証するための「コマンドハッシュ」を含む。「コマンドペイロード」は、各機能実行部18に受け渡されるコマンドの本体である。
暗号化部273は、コマンド生成部272で生成されたコマンドに対して、「全体セキュリティレベル」に設定されたセキュリティレベルに対応した暗号化を行うことができる。例えば、全体セキュリティレベルがLv0の場合は、暗号化を行わず、全体セキュリティレベルLv1〜Lv3の場合は、全体セキュリティレベルが高いほど解読が困難に暗号化をすることができる。例えば、暗号化は、全体セキュリティレベルが高いほど、長い暗号鍵を使用してよい。
プッシュ送信依頼部274は、暗号化部273により暗号化されたコマンドを、プッシュ情報サーバ30に送信して、プッシュ送信を依頼することができる。プッシュ送信依頼部274は、コマンドとともに、車両1の車両IDに対応するプッシュ情報サーバ30に対して、車両情報サーバ20のIDと送信先の車両1の車両IDを送信する。
車両情報管理部275は、車両情報サーバ20に登録された各車両1の状態を管理する。車両情報管理部275は、ユーザにより車両情報サーバ20に登録されているサービスを管理する。車両情報管理部275は、自己の管理する情報およびサービスに関して、所定の条件に基づいて、プッシュ要求受付部271に対して、車載機10の制御装置13の操作を要求してよい。例えば、ナビゲーションシステムを使用するユーザが、渋滞を回避するサービスを受ける場合を想定する。車両情報管理部275は、外部の情報源から渋滞情報を取得することができる。車両1に搭載されるナビゲーションシステムの案内する経路上に渋滞が発生した場合、車両情報管理部275は、ナビゲーションシステムの制御装置13に対して経路変更をさせるための操作を要求してよい。
(ブローカの構成)
ブローカ3は、情報センタ2の車両情報サーバ20から受け渡されたコマンドを、車両1の車載機10に対して、プッシュ送信するプッシュサービスを提供する。ブローカ3は、プッシュ情報サーバ30を含む。以下に、図5を参照して、プッシュ情報サーバ30について説明する。
プッシュ情報サーバ30は、車両情報サーバ20から車載機10へのコマンドの送信を仲介する。プッシュ情報サーバ30は、第3記憶部31と第3情報処理部32とを含む。
プッシュ情報サーバ30の第3記憶部31は、第3情報処理部32が動作するための種々の情報を格納している。第3記憶部31は、プッシュ送信を受ける車両1ごとの車両ID、車両IDと関連付けられた車両情報サーバ20のID、各車両1の車載機10の状態を保持する。車載機10の状態には、プッシュ待受け状態とプッシュ受信不能状態とを含む。
第3情報処理部32は、第1情報処理部15と同様に、単一の、または、複数のプロセッサとメモリとを含んで構成される。第3情報処理部32は、プッシュ受付部321、プッシュ送信部322および車載機状態管理部323の各機能ブロックを含む。第3情報処理部32を構成する各機能ブロックは、結合、分離および組み換えが可能である。第3情報処理部32の各機能ブロックが行う処理は、第3情報処理部32またはプッシュ情報サーバ30が実行するものと言い換えることができる。
プッシュ受付部321は、車両情報サーバ20のプッシュ送信依頼部274から送信されるコマンドの送信依頼を受け付ける。プッシュ受付部321は、コマンドを送信した車両情報サーバ20のIDを確認し、コマンドの送信依頼が、登録された車両情報サーバ20からのものであるとき、プッシュ送信部322に受け渡す。
車載機状態管理部323は、第3記憶部31と連携して、プッシュ情報サーバ30からのプッシュ送信を受ける各車載機10の状態を管理する。車載機10の状態としては、プッシュ待受け状態とプッシュ受信不能状態の2つの状態が含まれる。プッシュ待受け状態は、車載機10のプッシュ待受部171とプッシュ送信部322との間にプッシュ送信用の接続が確立され、いつでもコマンドを受信可能な状態である。プッシュ受信不能状態とは、車載機10のプッシュ待受部171に対してプッシュ送信ができない状態である。プッシュ受信不能状態は、例えば、車両1のACC電源がオフになっているときなど、車載機10のプッシュ待受部171とプッシュ送信部322との間でのプッシュ送信用の接続が確立されていない状態である。車両1ごとの状態は、第3記憶部31に記憶される。
プッシュ送信部322は、コマンドの送信先の車載機10がプッシュ待受け状態のとき、プッシュ受付部321から受け渡されたコマンドを車載機10のプッシュ待受部171にプッシュ送信する。プッシュ送信部322は、コマンドの送信先の車載機10がプッシュ受信不能状態のとき、プッシュ受付部321から受け渡されたコマンドを一時的に第3記憶部31に格納し、車載機10がプッシュ待受け状態になるのを待つことができる。プッシュ送信部322は、所定時間経過後も車載機10がプッシュ待受け状態にならない場合、車両情報サーバ20に対して時間超過による送信失敗を通知し、コマンドを破棄してよい。
(ユーザ端末)
車両外ユーザ4は、ユーザ端末40を用いて車両1の情報を取得すること、車両1へ情報を送信すること、および、車両1の一部の機能を遠隔操作すること等ができる。例えば、車両外ユーザ4は、ユーザ端末40を用いて、車両情報サーバ20上のサービスにアクセスし、車両1を使用した移動スケジュールの設定、変更、および、車両1の駐車場への入庫予約等をすることができる。車両情報サーバ20は、必要な場合、目的地の設定、変更などを、プッシュ送信を用いて、車載機10のナビゲーションシステムに伝えることができる。
車両外ユーザ4のユーザ端末40は、通信ネットワーク5に接続可能な種々の端末を用いることができる。ユーザ端末40は、汎用のスマートフォンおよび携帯型情報端末等の携帯端末としうる。ユーザ端末40は、パソコン、およびワークステーション等、および、情報センタ2のサービスを利用するための専用端末としてもよい。ユーザ端末40は、ウェブブラウザまたは専用のアプリケーションを用いて情報センタ2に接続することができる。ユーザ端末40と情報センタ2との間の通信は、SSL(Secure Socket Layer)等の暗号化された通信を用いてよい。ユーザ端末40には、ユーザIDが格納される。
(コマンド送信フロー1)
以下に、図6のフロー図を参照して、車両向けサービス提供システム100における情報センタ2の車両情報サーバ20から車両1の車載機10へのコマンド送信方法について説明する。前述のように、車載機10は、車両情報サーバ20から信用できることが保証されたブローカ3に接続する。
車両1のACC電源起動後、車載機10は、ブローカ3のプッシュ情報サーバ30に、自己の車両IDとプッシュ送信を待受け状態であることを通知する(ステップS101)。車載機10は、プッシュ情報サーバ30へ車両IDと待受け状態であることを送信したとき、プッシュ待受け状態となる(ステップS102)。
一方、ブローカ3のプッシュ情報サーバ30は車載機10から車両IDを受け取り(ステップS103)、いつでもプッシュ送信が可能なプッシュ送信待機状態となる(ステップS104)。プッシュ情報サーバ30は、各車両IDに対応する車両1が、プッシュ待受け状態か否かを管理する。
この状態で、プッシュ情報サーバ30は、情報センタ2の車両情報サーバ20からのコマンドを、任意のタイミングで受け取ることができる。コマンドは、車両1の搭乗者であるユーザによる車載機10の操作、情報センタ2の車両情報サーバ20における推論、または、ユーザ端末40への車両外ユーザ4の操作等をトリガとして生成される。図6のフロー図では、車両情報サーバ20およびユーザ端末40をコマンド生成の起点とする処理について説明する。
一例において、車両情報サーバ20が、車載機10へのメッセージの送信または車載機10の制御を要求する(ステップS105a)。車両情報サーバ20は、所定の条件に基づき、登録されている情報から推論して、自ら車載機10に通知または制御のための要求を生成することがある。例えば、ユーザが車両情報サーバ20にスケジュールを登録していた場合に、目的地までの経路上に渋滞が発生したという情報を取得したとする。この場合、車両情報サーバ20は、車載機10に経路変更をすべきとのメッセージを通知する要求を生成してよい。また、車両情報サーバ20にユーザの快適な気温および湿度等の条件を設定しておいた場合を想定する。この場合、走行中の車両1の経路上で急激な天候の変動が発生しているという情報を取得したとき、車両情報サーバ20は、エアコンの設定をユーザの快適な気温および湿度に応じて調整する要求を生成することができる。
また、他の例において、車両外ユーザ4がユーザ端末40を用いて、車両1に対して作用するアクションを選択することがある(ステップS105b)。例えば、車両外ユーザ4は、別のユーザが車両1を運転中に、ユーザ端末40を利用して、車両1を運転するユーザの予定がキャンセルされたことを入力することがある。そのような場合、ユーザ端末40は、ユーザに音声により目的地の変更を知らせるための要求を生成することができる。
ステップS105aまたはステップS105bにより、車載機10への要求が発生すると、車両情報サーバ20は、適切なコマンドを生成し、生成したコマンドを暗号化する(ステップS106)。前述のように、コマンドは、複数のコマンドを一つの送信単位として生成しうる。各コマンドは、予めセキュリティレベル(Lv0,Lv1,Lv2,Lv3等)が規定されている。車両情報サーバ20は、各コマンドのセキュリティレベルに対応して、コマンドを暗号化する。車両情報サーバ20は、複数のコマンドを一つの送信単位として纏めて送信するとき、一送信単位のコマンドに対し最もセキュリティレベルが高いコマンドに対応する暗号化を行う。
一例として、コマンドは、図4に示したように構成される。最もセキュリティレベルが高いコマンドのセキュリティレベルが、全体セキュリティレベルとなる。送信できるコマンドのセキュリティレベルは、情報センタ2ごとに制限をかけることができる。例えば、ある情報センタ2は、2番目に高いセキュリティレベルLv2のコマンドまでしか送信できないように設定しうる。図4において、ハッシュ値と基準時刻以降のペイロードを暗号化することができる。
次に、車両情報サーバ20は、プッシュ送信待受け状態にあるブローカ3のプッシュ情報サーバ30に対して、コマンド送信を依頼する(ステップS107)。車両情報サーバ20は、コマンドとともに車両IDと自己(車両情報サーバ20)のIDとを送信する。プッシュ情報サーバ30は、この送信依頼を受け付ける(ステップS108)。
プッシュ情報サーバ30は、第3記憶部31を参照して、受け取った車両IDの車両1の車載機10の状態を参照し、プッシュ待受け状態であれば、一送信単位のコマンドを送信する(ステップS109)。なお、車載機10がプッシュ受信不能状態の場合、プッシュ情報サーバ30は、第3記憶部31にコマンドを一時的に格納して、車載機10がプッシュ待受け状態になるまで待ってよい。さらに、車載機10が所定時間以上プッシュ受信不能状態の場合、プッシュ情報サーバ30は、車両情報サーバ20に対して時間超過により送信に失敗した旨を通知し、コマンドを破棄してよい。
車載機10の外部連携部17は、一送信単位のコマンドを、プッシュ情報サーバ30側からのプッシュ送信により受信する(ステップS110)。コマンドの受信後、車載機10の外部連携部17は、コマンドの待受け状態を継続してよい。あるいは、車載機10は、コマンドの待受け状態を一旦終了し、その後再び、プッシュ情報サーバ30に車両IDと待受け状態であることを通知して、プッシュ待受け状態となってよい。
車載機10の外部連携部17は、プッシュ情報サーバ30から受信したコマンドを復号する(ステップS111)。復号は全体セキュリティレベルに対応した暗号鍵を用いて行う。
車載機10の外部連携部17は、復号された各コマンドについてセキュリティを判定する(ステップS112)。具体的には、車載機10の外部連携部17は、各コマンドのセキュリティレベルに誤りがないことを確認する。セキュリティレベルに誤りがあれば、外部連携部17は、そのコマンドは実行できないと判定する。さらに、外部連携部は、復号されたコマンドの中に、全体セキュリティレベルよりも高いセキュリティレベルのコマンドが含まれる場合、そのコマンドを実行できないものと判定する。車載機10の外部連携部17は、全体セキュリティレベル以下のセキュリティレベルに対応する暗号化がされている場合のみ、コマンドを実行可能と判定する。例えば、セキュリティレベルLv2のコマンドまでしか生成が許されない車両情報サーバ20から、不正に生成されたセキュリティレベルLv3のコマンドを受信した場合、車載機10はこのコマンドを実行しない。このようにすることにより、権限のない車両情報サーバ20から不正なコマンドを受けて、制御装置13が操作される危険を低減することができる。また、何らかの方法で、プッシュ情報サーバ30になりすました他者から、車載機10の外部連携部17に対して不正なコマンドを送信された場合でも、セキュリティレベルの高いコマンドに対応する暗号鍵が他者に知られない限り、安全性を確保することができる。
車載機10の外部連携部17において、実行可能と判断されたコマンドは、車載機10の各機能実行部18において実行される(ステップS113)。例えば、ナビゲーションシステムの目的地変更を通知するコマンドまたはナビゲーションシステムの目的地を変更するコマンドは、ナビゲーションシステムの制御装置13に対応する機能実行部18において実行される。例えば、エアコンの温度を変更するコマンドは、エアコンの制御装置13に対応する機能実行部18において実行される。各機能実行部18は、対応する制御装置13に制御情報を送信して、機能を起動し必要な動作をさせることができる。
車載機10は、車両1の運転者がACC電源スイッチをオフにしたとき、ACC−OFF信号を受信することができる(ステップS114)。車載機10は、ACC電源装置から車両内通信回線14を介してACC−OFF信号を受信するように構成することができる。車載機10は、ACC−OFF信号を受信しないとき、再びステップS102のプッシュ待受け状態となることができる。図6では、簡単のため、ステップS114からステップS102への分岐を省略している。
ステップS114において、車載機10の外部連携部17は、ACC−OFF信号を受信した後、ブローカ3のプッシュ情報サーバ30に、車両IDとプッシュ待受けの終了を通知する(ステップS115)。プッシュ情報サーバ30は、車載機10からプッシュ待受け終了の通知を受けると、第3記憶部31で管理する車両1の状態をプッシュ受信不能状態に変更し、車載機10に対するプッシュ送信待機状態を終了する(ステップS116)。
(コマンド送信フロー2)
次に、図7を参照して、ユーザの車載機10に対する操作をトリガとする処理の一例を説明する。図7の例では、車両1の搭乗者が、車載機10の外部情報閲覧部16を用いて、車両情報サーバ20から制御装置13の操作に関わるアプリケーションを機能実行部18へインストールする。図7のフローは、基本的に図6のステップS101−S113の部分に相当する。
ステップS201からS204は、図6のステップS101からS104と同様である。車載機10のプッシュ待受部171がプッシュ待受け状態にあるとき、車両1の搭乗者が外部情報閲覧部16を用いて、情報センタ2のポータルサーバ23にアクセスし、車両情報サーバ20内のアプリケーションの車載機10へのインストールを選択する(ステップS205)。この場合、通常のウェブサイトとは異なり、情報センタ2は、外部情報閲覧部16からのアプリケーションインストールのリクエストに対して、アプリケーションのファイルを直接転送しない。
ポータルサーバ23上で、インストールするアプリケーションが選択されると、ポータルサーバ23から車両情報サーバ20に対して、問い合わせ要求コマンドの生成および暗号化が指示される(ステップS206)。「問い合わせ要求」とは、車載機10が車両情報サーバ20に対してインストールするアプリケーションはあるか否かを問い合わせることを、車両情報サーバ20が車載機10に対して要求するものである。暗号化に関しては、ステップS106と同様である。
次に、車両情報サーバ20は、プッシュ送信待受け状態にあるブローカ3のプッシュ情報サーバ30に対して、問い合わせ要求コマンドの送信を依頼する(ステップS207)。プッシュ情報サーバ30は、この問い合わせ要求コマンドの送信依頼を受け付ける(ステップS208)。
問い合わせ要求コマンドは、車載機10へプッシュ送信され、復号およびセキュリティ判定等の処理がなされる(ステップS209−S212)。
ステップS213において、車載機10の外部連携部17から問い合わせ要求コマンドを受け取った機能実行部18が、問い合わせ要求コマンドを実行する。この場合、機能実行部18は、アプリケーションをインストールする機能を実行する。機能実行部18は、情報センタ2の車両情報サーバ20に対して、インストールするアプリケーションがあるかを問い合わせる(S213)。機能実行部18から車両情報サーバ20への問い合わせは、プッシュ情報サーバ30を介さず、直接行われてよい。車両情報サーバ20は、問い合わせを受信し(ステップS214)、インストールするアプリケーションがあることを応答する(ステップS215)。機能実行部18は、この応答を受信する(ステップS216)。その後、インストールするアプリケーションのダウンロードが実行される(ステップS217)。アプリケーションのダウンロードは、車載機10と車両情報サーバ20との間で、通信ネットワーク5を介して直接行ってよい。アプリケーションのダウンロードは、FTP(File Transfer Protocol)等の方法を用いて行ってよい。
ステップS213からS217の処理は、図6のステップS113の処理に対応する。以降の処理の流れは、図6のステップS114以降と同様である。
以上のように、図7に示した例では、車載機10の他の部分とは論理的に分離された外部情報閲覧部16(ウェブブラウザ)のユーザインタフェースを使用しながら、機能実行部18へのアプリケーションのインストールが可能になる。
なお、ユーザの車載機10に対する操作をトリガとする処理は、上記のものに限られない。例えば、車両1を運転することのあるユーザが複数いるとき、各ユーザは、自分に適したシートの設定を車両情報サーバ20に登録しておくことができる。シートの設定には、シートの前後の位置、背もたれの傾き、座面高さ、硬さ、ならびに、換気、ヒータおよびマッサージ機能の設定等を含む。車両1を運転するユーザは、車載機10から自分が運転者であることを入力することによって、車両情報サーバ20に対してシート設定を自分に適したものに調整することを要求することができる。要求を受けた車両情報サーバ20は、プッシュ情報サーバ30を経由して、シート設定を調整するコマンドを車載機10へプッシュ送信する。
図6および図7を用いて説明した本明細書で開示される方法は、車載機10、車両情報サーバ20およびプッシュ情報サーバ30の何れか1つ以上に含まれるプロセッサがプログラムに従って実行することができる。そのようなプログラムは、非一時的なコンピュータ可読媒体において記憶されることが可能である。非一時的なコンピュータ可読媒体の例としては、ハードディスク、RAM、ROM、フラッシュメモリ、CD−ROM、光記憶デバイス、磁気記憶デバイス等を含むが、これらに限定されない。
(効果)
以上のように、本車両向けサービス提供システム100によれば、情報センタ2の車両情報サーバ20から、安全性の保証されたブローカ3のプッシュ情報サーバ30を介してのみ、車載機10へコマンドを送信することができる。また、プッシュ情報サーバ30を設けたことにより、車両情報サーバ20で生成されたコマンドは、車両1に対して任意のタイミングで送信することができる。これにより、制御装置13に作用する操作等を必要なタイミングで行うことができる。
また、プッシュ情報サーバ30からのプッシュ送信によらないで、車載機10の外部連携部17へ接続することは禁止されているので、情報センタ2以外の外部から車両1の制御装置13が操作されることに対する安全性を高めることができる。さらに、車両情報サーバ20で、コマンドのセキュリティレベルに応じて暗号化がなされ、コマンドのセキュリティレベル以下のセキュリティレベルで暗号化されたコマンドは実行されない。これにより、コマンドの安全性またはコマンドにより制御される制御装置13の重要性に応じて、セキュリティレベルを設定し、コマンドに応じたセキュリティを確保することができる。
さらに、車両情報サーバ20と車載機10との間は、複数のコマンドを一つの送信単位にまとめて送信できるので、多数のコマンドを同時に送信することが可能になる。また、プッシュ情報サーバ30と車載機10との間は、一度プッシュ送信用の接続が確立されると、継続してプッシュ送信が可能なため、非同期で多頻度のプッシュ送信が可能になる。したがって、本車両向けサービス提供システム100によれば、高頻度・大容量のプッシュ送信が可能になる。
また、車両情報サーバ20から車載機10へ大量のデータ送信が発生する場合は、図7に示した例のように、車両情報サーバ20から車載機10へ、問い合わせを要求するコマンドをプッシュ情報サーバ30経由でプッシュ送信することができる。これにより、以降のデータ送信は、車載機10と車両情報サーバ20との間で直接的に行うことができるので、安全性と効率性を確保できる。
さらに、外部サーバ6の情報閲覧をする外部情報閲覧部16と、車両1内の制御装置13と連携する外部連携部17とが論理的に分離されているので、外部連携部17が外部情報閲覧部16の影響を受けない。すなわち、仮にユーザが外部情報閲覧部16により、インターネット上の悪意のあるソフトウェアにアクセスしたとしても、その影響は外部連携部17および機能実行部18などの、外部情報閲覧部16の外部には及ばない。これにより、外部情報閲覧部16では自由に外部サーバ6の情報を閲覧でき、同時に、外部情報閲覧部16を介しての外部サーバ6から外部連携部17への接続が防御されるので、制御装置13に対するセキュリティを維持することができる。
また、外部情報閲覧部16または車両外ユーザ4のユーザ端末40で操作した内容を、車両情報サーバ20を介して安全かつ効率的にプッシュ送信をすることができるので、車両1内からまたは遠隔地から、安全を確保しながら非同期で制御装置13を操作することが可能になる。
なお、本発明は、上記実施の形態にのみ限定されるものではなく、幾多の変形または変更が可能である。例えば、各手段、各ステップ等に含まれる機能、各機能ブロック等は論理的に矛盾しないように再配置可能であり、複数の手段またはステップ等を1つに組み合わせたり、あるいは分割したりすることが可能である。
例えば、情報センタ2に含まれるサーバの構成は例示である。情報センタ2は、車両情報サーバ20、ポータルサーバ23および契約管理サーバ24以外のサーバを含んでよい。また、車両情報サーバ20が、ポータルサーバ23および契約管理サーバ24の一方または双方の機能を取り込んでもよい。さらに、通信機構22が車両情報サーバ20に内蔵されてもよい。
図6において、ACC電源がオフの場合、車載機10は処理を終了するものとした。しかし、ACCオフであっても車載機10の一部または全部の機能は稼働してよい。車載機10の一部の機能が稼働している場合、車両外ユーザ4はユーザ端末40を用いて車両1を操作してよい。例えば、車両外ユーザ4は、ユーザ端末40から車両1のロックがかかっているかを確認し、ロックがかかっていない場合は、ロックをするというような操作も可能である。また、車両外ユーザ4は、車両停止中にユーザ端末40からナビゲーションシステムの目的地を事前に設定することが可能である。
1 車両
2 ブローカ
3 情報センタ
4 車両外ユーザ
5 通信ネットワーク
6 外部サーバ
10 車載機(車載装置)
11 第1記憶部
12 通信機
13 制御装置
14 車両内通信回線
15 第1情報処理部
16 外部情報閲覧部(第2処理部)
17 外部連携部(第1処理部)
18 機能実行部
19 表示装置
20 車両情報サーバ
21 第2記憶部
22 通信機構
23 ポータルサーバ
24 契約管理サーバ
25 第4記憶部
26 LAN回線
27 第2情報処理部
30 プッシュ情報サーバ
31 第3記憶部
32 第3情報処理部
40 ユーザ端末
100 車両向けサービス提供システム
171 プッシュ待受部
172 復号部
173 セキュリティ判定部
174 コマンド実行部
271 プッシュ要求受付部
272 コマンド生成部
273 暗号化部
274 プッシュ送信依頼部
275 車両情報管理部
321 プッシュ受付部
322 プッシュ送信部
323 車載機状態管理部

Claims (10)

  1. 車両に搭載され、該車両内の制御装置に作用するコマンドを受け付け可能な車載装置と、
    前記車載装置に対して、前記コマンドを送信可能な車両情報サーバと、
    前記車両情報サーバから前記車載装置への前記コマンドの送信を仲介するプッシュ情報サーバと、
    を備え、
    前記車載装置、前記車両情報サーバおよび前記プッシュ情報サーバは、それぞれ通信ネットワークに接続され、
    前記コマンドには予めコマンドごとに規定されたセキュリティレベルが設定され、
    前記車両情報サーバは、前記コマンドに対し前記セキュリティレベルに対応した暗号化を行い、該暗号化されたコマンドの送信を前記プッシュ情報サーバに依頼し、
    前記車載装置は、前記プッシュ情報サーバからのみ前記暗号化されたコマンドを受信するように、前記プッシュ情報サーバからのコマンドを待受け、前記プッシュ情報サーバを経由して前記車両情報サーバから前記暗号化されたコマンドを受信し、受信した前記暗号化されたコマンドを復号し、該コマンドに予め設定された前記セキュリティレベル以上のセキュリティレベルに対応する暗号化がされていた場合のみ、前記コマンドを実行する、車両向けサービス提供システム。
  2. 前記車両情報サーバは、前記車載装置からの要求を受けることなく、所定の条件に基づいて前記コマンドを生成して前記車載装置に対して送信可能である、請求項1に記載の車両向けサービス提供システム。
  3. 前記車載装置は、前記コマンドの受信、復号および実行を行う第1処理部と、前記車両情報サーバまたは他のサーバとの間で前記車両内の制御装置に作用しない通信のみを行う第2処理部とを備える請求項1または2に記載の車両向けサービス提供システム。
  4. 前記セキュリティレベルは、2以上にレベル分けされていることを特徴とする請求項1乃至3のいずれか一項に記載の車両向けサービス提供システム。
  5. 前記車載装置は、前記車両情報サーバに対して、前記車両内の前記制御装置に作用する要求を送信可能に構成され、
    前記車両情報サーバは、前記車載装置からの前記要求を受信したとき、該要求に対応する前記コマンドを前記車載装置に送信可能に構成される請求項1乃至4のいずれか一項に記載の車両向けサービス提供システム。
  6. 携帯端末を備え、該携帯端末は、前記車両情報サーバに対して、前記車両内の前記制御装置に作用する要求を送信可能に構成され、
    前記車両情報サーバは、前記携帯端末からの前記要求を受信したとき、該要求に対応する前記コマンドを前記車載装置に送信可能に構成される請求項1乃至4のいずれか一項に記載の車両向けサービス提供システム。
  7. 前記車両情報サーバは、前記車載装置に対して、2つ以上の前記コマンドを1つの送信単位として送信可能であり、該送信単位に対して、該送信単位に含まれるコマンドの中で最もセキュリティレベルが高いコマンドのセキュリティレベルに対応した暗号化を行う、請求項1乃至6のいずれか一項に記載の車両向けサービス提供システム。
  8. 車両に搭載された車載装置であって、
    外部の車両情報サーバにより生成された、前記車両内の制御装置に作用するコマンドであって、セキュリティレベルに対応した暗号化が行われたコマンドを受け付け可能な第1処理部を備え、
    前記セキュリティレベルは、前記コマンドに対し予めコマンドごとに規定されたものであり、
    前記第1処理部は、
    通信ネットワークで接続されたプッシュ情報サーバからのコマンドを待受け、前記プッシュ情報サーバを経由して前記車両情報サーバから前記暗号化されたコマンドを受信するプッシュ待受部と、
    受信した前記暗号化されたコマンドを復号する復号部と、
    前記コマンドに予め設定された前記セキュリティレベル以上のセキュリティレベルに対応する暗号化がされていた場合のみ、前記コマンドを実行可能と判定するセキュリティ判定部と、
    実行可能とされた前記コマンドを実行するコマンド実行部と
    を含み、
    前記第1処理部は、前記プッシュ情報サーバからのみ前記暗号化されたコマンドを受信可能に構成された車載装置。
  9. 前記車両情報サーバまたは他のサーバとの間で前記車両内の制御装置に作用しない通信のみを行う第2処理部をさらに備える請求項8に記載の車載装置。
  10. それぞれ通信ネットワークに接続された、車載装置、車両情報サーバおよびプッシュ情報サーバを含む車両向けサービス提供システムにおける、前記車両情報サーバから前記車載装置へのコマンド送信方法であって、
    前記車載装置が、前記プッシュ情報サーバから、車両内の制御装置に作用するコマンドの受信を待受けるステップと、
    前記車両情報サーバが、送信するコマンドに対し予めコマンドごとに規定されたセキュリティレベルに対応した暗号化を行い、該暗号化されたコマンドの送信を前記プッシュ情報サーバに依頼するステップと、
    前記プッシュ情報サーバが、前記暗号化されたコマンドを前記車載装置に送信するステップと、
    前記車載装置が、受信した前記暗号化されたコマンドを復号し、該コマンドに予め設定された前記セキュリティレベル以上のセキュリティレベルに対応する暗号化がされていた場合のみ、前記コマンドを実行するステップと、
    を含むコマンド送信方法。
JP2018079609A 2018-04-18 2018-04-18 車両向けサービス提供システム、車載装置およびコマンド送信方法 Active JP6973262B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018079609A JP6973262B2 (ja) 2018-04-18 2018-04-18 車両向けサービス提供システム、車載装置およびコマンド送信方法
CN201910292413.4A CN110392036B (zh) 2018-04-18 2019-04-12 面向车辆的服务提供系统、车载装置和命令传送方法
US16/385,459 US11218456B2 (en) 2018-04-18 2019-04-16 Vehicle-oriented service providing system, in-vehicle device, and command transmission method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018079609A JP6973262B2 (ja) 2018-04-18 2018-04-18 車両向けサービス提供システム、車載装置およびコマンド送信方法

Publications (2)

Publication Number Publication Date
JP2019192953A JP2019192953A (ja) 2019-10-31
JP6973262B2 true JP6973262B2 (ja) 2021-11-24

Family

ID=68238296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018079609A Active JP6973262B2 (ja) 2018-04-18 2018-04-18 車両向けサービス提供システム、車載装置およびコマンド送信方法

Country Status (3)

Country Link
US (1) US11218456B2 (ja)
JP (1) JP6973262B2 (ja)
CN (1) CN110392036B (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4112109A1 (de) * 2018-08-13 2023-01-04 Löwenstein Medical Technology S.A. Sichere kommunikation zwischen einem server und einem beatmungssystem
CN112087508B (zh) * 2020-09-03 2023-04-07 中国第一汽车股份有限公司 一种车辆功能的远程控制方法、装置、系统及存储介质
JP2022088981A (ja) 2020-12-03 2022-06-15 株式会社デンソー 情報送信方法及び通信装置
WO2022146571A1 (en) 2020-12-28 2022-07-07 Keyfactor, Inc. Remote certificate authority management
US20220379927A1 (en) * 2021-05-25 2022-12-01 At&T Intellectual Property I, L.P. Connected systems based on contextually aware dynamic visual indicators
EP4266628A3 (en) * 2022-04-18 2023-11-01 Carrier Corporation Obfuscating data in controller area network messages for transport refrigeration units
JP2023167969A (ja) * 2022-05-13 2023-11-24 株式会社デンソー 車載通信機及びプッシュサーバ
CN115048154B (zh) * 2022-07-06 2024-05-03 北斗星通智联科技有限责任公司 车载配置信息管理方法、装置、系统及存储介质

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2329499B (en) * 1997-09-19 2001-05-30 Ibm Method for controlling access to electronically provided services and system for implementing such method
EP1022875B1 (en) * 1999-01-25 2005-06-01 Nippon Telegraph and Telephone Corporation Push network
US6907470B2 (en) * 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
JP4839705B2 (ja) 2005-07-06 2011-12-21 トヨタ自動車株式会社 情報提供システム及び情報提供方法
US7614080B2 (en) 2005-12-28 2009-11-03 Panasonic Electric Works Co., Ltd. Systems and methods for providing secure access to embedded devices using a trust manager and a security broker
US20070192830A1 (en) * 2006-02-15 2007-08-16 O'connor Dennis M Security module having access limited based upon security level of code seeking access
US20080127322A1 (en) * 2006-11-28 2008-05-29 Azaleos Corporation Solicited remote control in an interactive management system
JP4594969B2 (ja) * 2007-08-28 2010-12-08 株式会社バッファロー 無線lan用アクセスポイント、プログラムおよび記録媒体
JP5211586B2 (ja) * 2007-08-31 2013-06-12 カシオ計算機株式会社 データ管理装置及びプログラム
US20090300595A1 (en) * 2008-05-30 2009-12-03 Ise Corporation System and Method for Remotely Updating Control Software in a Vehicle With an Electric Drive System
US8719905B2 (en) * 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
CN104080658B (zh) * 2012-01-25 2016-08-24 丰田自动车株式会社 车辆远程操作信息提供装置、车载远程操作信息取得装置及具备这些装置的车辆远程操作系统
JP5651615B2 (ja) 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5900007B2 (ja) * 2012-02-20 2016-04-06 株式会社デンソー 車両用データ通信認証システム及び車両用ゲートウェイ装置
JP5973224B2 (ja) * 2012-05-10 2016-08-23 株式会社東海理化電機製作所 電子キー登録方法
CN103529823B (zh) * 2013-10-17 2016-04-06 北奔重型汽车集团有限公司 一种用于汽车诊断系统的安全访问控制方法
US9558128B2 (en) * 2014-10-27 2017-01-31 Seagate Technology Llc Selective management of security data
US9494935B2 (en) * 2014-11-13 2016-11-15 Toyota Motor Engineering & Manufacturing North America, Inc. Remote operation of autonomous vehicle in unexpected environment
JP6652326B2 (ja) * 2015-04-14 2020-02-19 クラリオン株式会社 コンテンツ起動制御装置、コンテンツ起動方法、およびコンテンツ起動システム
JP2017004116A (ja) 2015-06-05 2017-01-05 トヨタ自動車株式会社 車両用遠隔支援システム
US9916151B2 (en) * 2015-08-25 2018-03-13 Ford Global Technologies, Llc Multiple-stage secure vehicle software updating
US20170150361A1 (en) * 2015-11-20 2017-05-25 Faraday&Future Inc. Secure vehicle network architecture
CN107181725A (zh) * 2016-03-11 2017-09-19 比亚迪股份有限公司 车辆安全通信方法、装置、车辆多媒体系统及车辆
CN107181722A (zh) * 2016-03-11 2017-09-19 比亚迪股份有限公司 车辆安全通信方法、装置、车辆多媒体系统及车辆
FR3053864B1 (fr) * 2016-07-05 2018-08-17 Alstom Transport Technologies Procede de mise a jour d'une pluralite de vehicules et ensemble forme d'une pluralite de vehicules ferroviaires et d'un systeme de gestion associe
CN107483393B (zh) * 2016-11-22 2020-06-02 宝沃汽车(中国)有限公司 车联网的通信方法、服务器及通信系统
CN106853810A (zh) * 2016-12-29 2017-06-16 北京车和家信息技术有限责任公司 车辆远程控制的方法、装置、车身控制模块、车辆及系统
US10484466B2 (en) * 2017-02-01 2019-11-19 Panasonic Avionics Corporation Methods and systems for communicating messages to passengers on a transportation vehicle
CN106850638B (zh) * 2017-02-14 2020-03-24 中车株洲电力机车研究所有限公司 一种车载设备访问控制方法及系统
US10325592B2 (en) * 2017-02-15 2019-06-18 GM Global Technology Operations LLC Enhanced voice recognition task completion
US10783165B2 (en) * 2017-05-17 2020-09-22 International Business Machines Corporation Synchronizing multiple devices
KR101817683B1 (ko) * 2017-07-31 2018-01-12 (주)디지파츠 실시간 차량 관제 서비스를 위한 커넥티드 게이트웨이 서버 시스템
KR102555906B1 (ko) * 2018-01-08 2023-07-17 현대자동차주식회사 차량에 대한 원격서비스 제공방법 및 그 시스템
US20190230206A1 (en) * 2018-01-23 2019-07-25 Ford Global Technologies, Llc Extending mobile-to-vehicle apis to the cloud

Also Published As

Publication number Publication date
US20190327212A1 (en) 2019-10-24
JP2019192953A (ja) 2019-10-31
CN110392036B (zh) 2022-01-11
US11218456B2 (en) 2022-01-04
CN110392036A (zh) 2019-10-29

Similar Documents

Publication Publication Date Title
JP6973262B2 (ja) 車両向けサービス提供システム、車載装置およびコマンド送信方法
CN107528821B (zh) 用于远程信息处理控制单元的数据更新的系统和方法
CN107786683B (zh) 移动装置网络地址服务器更新
EP3694179B1 (en) Proxy for access of a vehicle component
US11283601B2 (en) Update management method, update management system, and non-transitory recording medium
US10142420B2 (en) On-board web server telematics systems and methods
CN108419233B (zh) 空中更新安全
CN106240522B (zh) 自主车辆防盗
CN109842862B (zh) 在车辆中建立安全短程无线通信连接
US12041171B2 (en) Over-the-air vehicle systems updating and associated security protocols
CN106484457B (zh) 多阶段的安全的车辆软件更新的方法及系统
JP6573819B2 (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US9672025B2 (en) Encryption for telematics flashing of a vehicle
CN107483393B (zh) 车联网的通信方法、服务器及通信系统
US20170118023A1 (en) Method for authorizing a software update in a motor vehicle
CN109905356B (zh) 基于可用信用或数据余额将系留设备引导至车载存储登陆页面的系统和方法
CN104865866A (zh) 乘员通信系统和控制方法
WO2016170834A1 (ja) 車両を管理するシステム及び方法
JP2019021973A (ja) 車載装置、管理方法および管理プログラム
JP2015505434A (ja) セキュリティ上安全な電子機器
KR20150089697A (ko) 모바일 단말을 이용한 스마트 카 보안 시스템 및 그 방법
EP4305835A1 (en) Method and system for performing identity checks in a distributed system
US20170297529A1 (en) Vehicle Computer System for Authorizing Insurance and Registration Policy
US20220239472A1 (en) Service-oriented architecture in a vehicle
US20230015693A1 (en) Restoration of corrupted keys in a secure storage system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211005

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211018

R151 Written notification of patent or utility model registration

Ref document number: 6973262

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151