JP7131498B2 - 演算装置およびデータ送信方法 - Google Patents
演算装置およびデータ送信方法 Download PDFInfo
- Publication number
- JP7131498B2 JP7131498B2 JP2019127855A JP2019127855A JP7131498B2 JP 7131498 B2 JP7131498 B2 JP 7131498B2 JP 2019127855 A JP2019127855 A JP 2019127855A JP 2019127855 A JP2019127855 A JP 2019127855A JP 7131498 B2 JP7131498 B2 JP 7131498B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- operating system
- low
- data
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Description
演算装置、および、その演算装置が実行するデータ送信方法に関する。
特許文献1には、2つのプラットフォームを備えた車載装置が開示されている。ソフトウェアであるプラットフォームはオペレーティングシステムと呼ばれることも多い。
複数のオペレーティングシステムを備える場合、車両情報などの重要な情報は、相対的にセキュリティレベルの高いオペレーティングシステム上で動作するアプリケーションソフトウェアが扱うようにすることが考えられる。相対的にセキュリティレベルが高いオペレーティングシステムを、説明の便宜上、高オペレーティングシステムとし、相対的にセキュリティレベルが低いオペレーティングシステムを、以下、便宜上、低オペレーティングシステムとする。
高オペレーティングシステムとしては、たとえば、AGL、QNX(登録商標)などを例示できる。低オペレーティングシステムとしては、ANDROID(登録商標)などの汎用オペレーティングシステムを例示できる。
汎用オペレーティングシステム上で種々のアプリケーションソフトウェアが動作する。汎用オペレーティングシステム上で動作するアプリケーションソフトウェアとして、ディスプレイや入力装置など、ユーザインターフェースのうちのハードウェア部分(以下、ユーザインターフェース機構)を利用するものがある。
高オペレーティングシステム上で動作するアプリケーションソフトウェア(以下、高OS側アプリケーション)も、ユーザインターフェース機構を利用することがある。高OS側アプリケーションもユーザインターフェース機構を利用する場合、調停や表示態様の統一性を出すために、高OS側アプリケーションは直接的にはユーザインターフェース機構を制御せず、ユーザインターフェース機構へ送信するデータを、低オペレーティングシステム側に送信することが考えられる。そして、低オペレーティングシステム上で動作し、ユーザインターフェース機構を制御するユーザインターフェースアプリケーションを設ける。
ユーザインターフェースアプリケーションを低オペレーティングシステム側に設けることで、ユーザインターフェース機構を利用する、低オペレーティングシステム側のアプリケーションとの間で調停や表示態様の統一が容易になる。
しかし、低オペレーティングシステムは、高オペレーティングシステムよりもハッキングに弱い。高オペレーティングシステムから低オペレーティングシステムへデータを送信すると、低オペレーティングシステムがハッキングされることで、高オペレーティングシステム側のデータの流出する恐れが高くなる。
本開示は、この事情に基づいて成されたものであり、その目的とするところは、セキュリティレベルが高いオペレーティングシステム上で扱われるデータの流出を抑制することができる演算装置およびデータ送信方法を提供することにある。
上記目的は独立請求項に記載の特徴の組み合わせにより達成され、また、下位請求項は更なる有利な具体例を規定する。特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、開示した技術的範囲を限定するものではない。
上記目的を達成するための演算装置に係る1つの開示は、
相互にセキュリティレベルが異なる複数のオペレーティングシステムを実行する演算装置であって、
複数のオペレーティングシステムのうちの相対的にセキュリティレベルが低いオペレーティングシステムを低オペレーティングシステム(62)とし、
複数のオペレーティングシステムのうち、低オペレーティングシステムよりもセキュリティレベルが高いオペレーティングシステムを高オペレーティングシステム(61)としたとき、
高オペレーティングシステム上で動作するアプリケーションソフトウェアである少なくとも1つの高OS側アプリケーション(70)と、
低オペレーティングシステム上で動作するアプリケーションソフトウェアであって、高OS側アプリケーションと通信する低OS側通信アプリケーション(83)とを備え、
高OS側アプリケーションと低OS側通信アプリケーションとの間は、チップ内アプリケーション通信または有線通信によりデータ通信が行われ、
少なくとも1つの高OS側アプリケーションから低OS側通信アプリケーションへ送信されるデータは暗号化されており、
低OS側通信アプリケーションは、高OS側アプリケーションと通信し、暗号化されているデータを復号し、復号したデータに基づいて、ユーザインターフェース機構であるディスプレイ(21)の表示内容を制御するアプリケーションを含み、
演算装置は、さらに、
低オペレーティングシステム上で動作するアプリケーション(81)から入力されたデータに基づいて定まる表示内容をディスプレイに表示する、低オペレーティングシステム上で動作するユーザインターフェースアプリケーション(82)を備える演算装置である。
相互にセキュリティレベルが異なる複数のオペレーティングシステムを実行する演算装置であって、
複数のオペレーティングシステムのうちの相対的にセキュリティレベルが低いオペレーティングシステムを低オペレーティングシステム(62)とし、
複数のオペレーティングシステムのうち、低オペレーティングシステムよりもセキュリティレベルが高いオペレーティングシステムを高オペレーティングシステム(61)としたとき、
高オペレーティングシステム上で動作するアプリケーションソフトウェアである少なくとも1つの高OS側アプリケーション(70)と、
低オペレーティングシステム上で動作するアプリケーションソフトウェアであって、高OS側アプリケーションと通信する低OS側通信アプリケーション(83)とを備え、
高OS側アプリケーションと低OS側通信アプリケーションとの間は、チップ内アプリケーション通信または有線通信によりデータ通信が行われ、
少なくとも1つの高OS側アプリケーションから低OS側通信アプリケーションへ送信されるデータは暗号化されており、
低OS側通信アプリケーションは、高OS側アプリケーションと通信し、暗号化されているデータを復号し、復号したデータに基づいて、ユーザインターフェース機構であるディスプレイ(21)の表示内容を制御するアプリケーションを含み、
演算装置は、さらに、
低オペレーティングシステム上で動作するアプリケーション(81)から入力されたデータに基づいて定まる表示内容をディスプレイに表示する、低オペレーティングシステム上で動作するユーザインターフェースアプリケーション(82)を備える演算装置である。
この演算装置では、少なくとも1つの高OS側アプリケーションは、データを暗号化して低OS側通信アプリケーションに送信する。これにより、低オペレーティングシステムがハッキングされた場合に、高OS側アプリケーションが扱うデータが流出してしまうことが抑制される。
上記目的を達成するためのデータ送信方法に係る1つの開示は、上記演算装置が実行するデータ送信方法である。すなわち、そのデータ送信方法は、
相互にセキュリティレベルが異なる複数のオペレーティングシステムのうちの相対的にセキュリティレベルが低いオペレーティングシステムを低オペレーティングシステム(62)とし、
複数のオペレーティングシステムのうち、低オペレーティングシステムよりもセキュリティレベルが高いオペレーティングシステムを高オペレーティングシステム(61)としたとき、
高オペレーティングシステム上で動作するアプリケーションソフトウェアである少なくとも1つの高OS側アプリケーション(70)から、低オペレーティングシステム上で動作するアプリケーションソフトウェアである低OS側通信アプリケーション(83)へデータを送信するデータ送信方法であって、
低オペレーティングシステム上で動作するユーザインターフェースアプリケーション(82)が、低オペレーティングシステム上で動作するアプリケーション(81)から入力されたデータに基づいて定まる表示内容をディスプレイに表示し、
高OS側アプリケーションと低OS側通信アプリケーションとの間は、チップ内アプリケーション通信または有線通信によりデータ通信が行われ、
少なくとも1つの高OS側アプリケーションが低OS側通信アプリケーションへ送信する元データを生成し(S2)、
生成した元データを暗号化したデータを低OS側通信アプリケーションへ送信し(S4)、
低OS側通信アプリケーションは、暗号化されているデータを復号し、復号したデータに基づいて、ディスプレイ(21)の表示内容を制御するデータ送信方法である。
相互にセキュリティレベルが異なる複数のオペレーティングシステムのうちの相対的にセキュリティレベルが低いオペレーティングシステムを低オペレーティングシステム(62)とし、
複数のオペレーティングシステムのうち、低オペレーティングシステムよりもセキュリティレベルが高いオペレーティングシステムを高オペレーティングシステム(61)としたとき、
高オペレーティングシステム上で動作するアプリケーションソフトウェアである少なくとも1つの高OS側アプリケーション(70)から、低オペレーティングシステム上で動作するアプリケーションソフトウェアである低OS側通信アプリケーション(83)へデータを送信するデータ送信方法であって、
低オペレーティングシステム上で動作するユーザインターフェースアプリケーション(82)が、低オペレーティングシステム上で動作するアプリケーション(81)から入力されたデータに基づいて定まる表示内容をディスプレイに表示し、
高OS側アプリケーションと低OS側通信アプリケーションとの間は、チップ内アプリケーション通信または有線通信によりデータ通信が行われ、
少なくとも1つの高OS側アプリケーションが低OS側通信アプリケーションへ送信する元データを生成し(S2)、
生成した元データを暗号化したデータを低OS側通信アプリケーションへ送信し(S4)、
低OS側通信アプリケーションは、暗号化されているデータを復号し、復号したデータに基づいて、ディスプレイ(21)の表示内容を制御するデータ送信方法である。
以下、実施形態を図面に基づいて説明する。図1に示す車載システム1は、車両Cに搭載されている。車載システム1は、ユーザインターフェース機構20と、無線通信装置30と、演算装置であるコンピュータ40とを備えている。
ユーザインターフェース機構20は、ユーザとコンピュータ40との間の情報伝達を行う構成のうちのハードウェア構成を意味する。図1には、ユーザインターフェース機構20として、ディスプレイ21と入力装置22を開示している。
ディスプレイ21は、車両Cの車室において乗員が視認できる位置に配置されている。ディスプレイ21は、種々の画像が表示可能である。ディスプレイ21として、液晶ディスプレイや有機ELディスプレイを用いることができる。
入力装置22は、車両Cの乗員が種々の入力操作をする部分である。入力装置22は、たとえば、ディスプレイ21の表示面に重畳されたタッチパネル、メカニカルスイッチである。また、音声入力を行うためのマイクを入力装置22として設けることもできる。無線通信装置30は、車両Cの外部との間で無線通信を行う。無線通信装置30は、たとえば、クラウドサーバと通信を行う。
コンピュータ40は、ユーザインターフェース機構20に接続されているとともに車内LANバス50に接続されている。コンピュータ40は、車内LANバス50を介して、車両Cに搭載された種々の機器との間で信号の送受信が可能である。
コンピュータ40が車内LANバス50を介して受信する信号としては、たとえば、ディスプレイ21に画像として表示される車両計器類において現在の状態を示す信号がある。この信号には、たとえば、車速を示す信号、燃料残量を示す信号などが含まれる。他にも、入力装置22の入力操作により要求された種々の車載機器の制御情報、無線通信装置30が受信した車外の情報を、コンピュータ40が取得できるようにしてもよい。なお、コンピュータ40は、無線通信装置30が受信した車外の情報を、車両Cに搭載されたECUを介して取得してもよい。
[コンピュータ40の構成]
コンピュータ40は、図1に示すように、プロセッサモジュール41、RAM42、フラッシュメモリ43、バスライン44などを備えている。プロセッサモジュール41は、複数のプロセッサコアを備える。
コンピュータ40は、図1に示すように、プロセッサモジュール41、RAM42、フラッシュメモリ43、バスライン44などを備えている。プロセッサモジュール41は、複数のプロセッサコアを備える。
RAM42は、フラッシュメモリ43から読み出された情報などを一時的に記憶する。フラッシュメモリ43は不揮発性のメモリであり、プロセッサモジュール41が実行する種々のソフトウェアを記憶している。
プロセッサモジュール41は、図2に示すソフトウェアを実行する。したがって、フラッシュメモリ43には図2に示す各ソフトウェアが記憶されている。なお、図2に示す種々のソフトウェアは、コンピュータ40が他の不揮発性有形記憶媒体を備えている場合には、図2に示す種々のソフトウェアは、フラッシュメモリ43以外の不揮発性有形記憶媒体に記憶されていてもよい。
図2は、コンピュータ40が各ソフトウェアを実行する際のソフトウェア間の階層構造も概略的に示している。図2に示すように、プロセッサモジュール41は、ハイパーバイザー60、高オペレーティングシステム61、汎用オペレーティングシステム62、高OS側アプリケーション70、低OS側アプリケーション80を備えている。なお、アプリケーションは、アプリケーションソフトウェアともいう。
ハイパーバイザー60は、コンピュータ40に仮想化環境を作り出すソフトウェアである。ハイパーバイザー60は具体的には、1つのコンピュータ40にて、高オペレーティングシステム61と汎用オペレーティングシステム62が並列に動作可能な環境を作り出すソフトウェアである。高オペレーティングシステム61は、汎用オペレーティングシステム62に比べてセキュリティレベルが高いオペレーティングシステムである。
本実施形態では、プロセッサモジュール41--は、高オペレーティングシステム61として、第1オペレーティングシステム61aと第2オペレーティングシステム61bの2種類のオペレーティングシステムを実行する。第1オペレーティングシステム61aを実行するプロセッサコアと、第2オペレーティングシステム61bを実行するプロセッサコアと、汎用オペレーティングシステム62を実行するプロセッサコアは、互いに異なるプロセッサコアとすることができる。ただし、プロセッサモジュール41が備える一部または全部のプロセッサコアを、複数のオペレーティングシステムを実行するプロセッサコアとして共用してもよい。なお、プロセッサモジュール41が実行する高オペレーティングシステム61は1種類のみでもよい。
第1オペレーティングシステム61aは、たとえば、リアルタイムオペレーティングシステムとすることができる。リアルタイムオペレーティングシステムは、リアルタイム処理を行うオペレーティングシステムである。リアルタイムオペレーティングシステムは、安定性に優れているという特徴を持つ。リアルタイムオペレーティングシステムは、たとえば、QNXである。
第2オペレーティングシステム61bは、たとえば、AGLとすることができる。なお、第1オペレーティングシステム61aと第2オペレーティングシステム61bとの間のセキュリティレベルはどちらが高くてもよい。
汎用オペレーティングシステム62は、高オペレーティングシステム61よりもセキュリティレベルが低いオペレーティングシステムである。汎用オペレーティングシステム62は低オペレーティングシステムの一例である。汎用オペレーティングシステム62は、たとえばANDROIDである。
高OS側アプリケーション70として、図2には、メータアプリケーション71、クラウド通信アプリケーション72、車両内通信アプリケーション73、暗号化アプリケーション74が示されている。
これらのうち、メータアプリケーション71は、第1オペレーティングシステム61a上で動作する。一方、クラウド通信アプリケーション72、車両内通信アプリケーション73、暗号化アプリケーション74は、第2オペレーティングシステム61b上で動作する。
メータアプリケーション71は、ディスプレイ21に表示される車両計器類の画像を決定するための情報である車速等を決定する。メータアプリケーション71は、決定した車速等を示すデータを、ユーザインターフェースアプリケーション(以下、UIアプリケーション)83に送信する。
クラウド通信アプリケーション72は、無線通信装置30を制御して、クラウドサーバとの間でデータの送受信を行う。クラウド通信アプリケーション72がクラウドサーバから取得することができるデータには、車両Cに関する種々の情報または車両Cの乗員に関する種々の情報の少なくとも一方が含まれることがある。クラウド通信アプリケーション72は、クラウドサーバから取得した情報を、UIアプリケーション83に提供できる情報に変換する。そして、変換後の情報を、暗号化アプリケーション74を介してUIアプリケーション83に送る。
車両内通信アプリケーション73は、UIアプリケーション83からの指示に従い、車両Cに搭載された種々のECU等と通信を行って種々の車両内情報を取得する。そして、車両内通信アプリケーション73は、取得した車両内情報をUIアプリケーション83が理解可能な形式に変更する。UIアプリケーション83は、形式を変更した後のデータを、暗号化アプリケーション74を介してUIアプリケーション83に送る。
暗号化アプリケーション74は、クラウド通信アプリケーション72、車両内通信アプリケーション73から供給されたデータを暗号化して、UIアプリケーション83に送信する。暗号化アプリケーション74から見た場合、クラウド通信アプリケーション72、車両内通信アプリケーション73は、UIアプリケーション83に送信する元データを作成する元データ作成アプリケーションである。
暗号化アプリケーション74とUIアプリケーション83との間の通信方式に特に制限はない。共有メモリ方式、ソケット通信など、種々の通信方式を用いて暗号化アプリケーション74とUIアプリケーション83は通信することができる。
暗号化アプリケーション74とUIアプリケーション83は、ともに、同じプロセッサモジュール41が実行する。したがって、通信方式によらず、暗号化アプリケーション74とUIアプリケーション83との間の通信はチップ内アプリケーション通信である。チップ内アプリケーション通信は、1つのチップが備える1つまたは複数のプロセッサが実行するアプリケーション間の通信を意味する。また、暗号化の方式は特に制限はない。たとえば、SSHにより、暗号化アプリケーション74とUIアプリケーション83は通信することができる。
低OS側アプリケーション80は、マルチメディアアプリケーション81、UIアプリケーション82、83を備える。図2には、1つのマルチメディアアプリケーション81を示しているが、マルチメディアアプリケーション81の数は複数でもよい。マルチメディアアプリケーション81は、具体的には、ナビゲーションアプリケーション、オーディオアプリケーションなどである。
マルチメディアアプリケーション81は、UIアプリケーション82に種々のデータを送信する。また、UIアプリケーション82からの指示に応じた処理を実行する。たとえば、マルチメディアアプリケーション81がナビゲーションアプリケーションである場合には、UIアプリケーション82から、経路探索の指示などが入力される。UIアプリケーション82は、経路探索の指示などを入力装置22から取得する。経路探索の指示が入力された場合には、ナビゲーションアプリケーションは、経路探索処理を実行する。経路探索処理を実行したことにより探索された経路を示すデータは、UIアプリケーション82に送信される。なお、マルチメディアアプリケーション81とUIアプリケーション82との間の通信は暗号化されていない。
UIアプリケーション82は、マルチメディアアプリケーション81とユーザとの間のインターフェースのうちのソフトウェア部分である。マルチメディアアプリケーション81とユーザとの間のインターフェースのうちのハードウェア部分はユーザインターフェース機構20である。
UIアプリケーション82は、入力装置22から入力された信号に基づいて定まる指示を、マルチメディアアプリケーション81に出力する。また、UIアプリケーション82は、マルチメディアアプリケーション81から入力されたデータに基づいてディスプレイ21に表示する表示内容を決定し、その表示内容をディスプレイ21に表示する。
UIアプリケーション83は、低OS側通信アプリケーションに相当しており、高OS側アプリケーション70とユーザとの間のインターフェースのうちのソフトウェア部分である。UIアプリケーション83は、入力装置22から入力された信号が高OS側アプリケーション70に対する指示である場合には、その指示を、指示内容に基づいて定まる高OS側アプリケーション70に送信する。
また、UIアプリケーション83は、暗号化アプリケーション74からデータが送信されてきた場合には、そのデータを復号し、復号したデータに基づいて定まる処理を実行する。たとえば、復号したデータが車速を示す場合には、ディスプレイ21に表示している車速を、新たに取得した車速を表すように変更する。
また、UIアプリケーション83は、入力装置22から、クラウドサーバに保存されているデータ取得要求があった場合には、クラウドサーバからデータを取得する指示を、クラウド通信アプリケーション72に送信する。クラウド通信アプリケーション72はこの指示を受けると、指示に基づいて定まるデータを、クラウドサーバから取得する。そして、そのデータを、暗号化アプリケーション74を介してUIアプリケーション83に送信する。UIアプリケーション83は、このデータを復号して、ユーザインターフェース機構20に出力する。
[OS間通信に関する処理]
図3に、OS間でデータを通信する際の処理の一例をフローチャートにして示す。図3によりデータ送信方法が説明されている。ステップ(以下、ステップを省略)S1~S3は、クラウド通信アプリケーション72、車両内通信アプリケーション73のいずれかが実行する。S4、S5は、暗号化アプリケーション74が実行する。S6~S8はUIアプリケーション83が実行する。
図3に、OS間でデータを通信する際の処理の一例をフローチャートにして示す。図3によりデータ送信方法が説明されている。ステップ(以下、ステップを省略)S1~S3は、クラウド通信アプリケーション72、車両内通信アプリケーション73のいずれかが実行する。S4、S5は、暗号化アプリケーション74が実行する。S6~S8はUIアプリケーション83が実行する。
S1ではトリガ信号を取得する。トリガ信号は、クラウド通信アプリケーション72であれば、たとえば、クラウドサーバに記憶された情報を取得する指示信号である。車両内通信アプリケーション73であれば、トリガ信号は、たとえば車載機器の設定状態を示す信号である。
S2では、S1で取得したトリガ信号により定まる元データを生成する。元データは、UIアプリケーション83へ送信するデータであって、暗号化前のデータである。S3では、S2で生成した元データを暗号化アプリケーション74へ送る。S4において、暗号化アプリケーション74は元データを暗号化する。そして、S5において、暗号したデータをUIアプリケーション83に送信する。
S6において、UIアプリケーション83は、暗号化アプリケーション74が送信したデータを受信する。S7において、UIアプリケーション83は、受信したデータを復号する。S8では、S7で復号したデータにより定まる処理を実行する。
[実施形態のまとめ]
以上、説明した本実施形態の車載システム1では、高オペレーティングシステム61と汎用オペレーティングシステム62は、同じプロセッサモジュール41で動作する。同じプロセッサモジュール41上で動作する複数のオペレーティングシステム間でデータを送受信する場合、通常、データは暗号化されずに送受信される。しかし、高オペレーティングシステム61のセキュリティレベルが高くても、汎用オペレーティングシステム62がハッキングされることで、高オペレーティングシステム61側で動作するアプリケーションが扱うデータが流出する恐れや改ざんされる恐れがある。
以上、説明した本実施形態の車載システム1では、高オペレーティングシステム61と汎用オペレーティングシステム62は、同じプロセッサモジュール41で動作する。同じプロセッサモジュール41上で動作する複数のオペレーティングシステム間でデータを送受信する場合、通常、データは暗号化されずに送受信される。しかし、高オペレーティングシステム61のセキュリティレベルが高くても、汎用オペレーティングシステム62がハッキングされることで、高オペレーティングシステム61側で動作するアプリケーションが扱うデータが流出する恐れや改ざんされる恐れがある。
そこで、本実施形態の車載システム1では、高OS側アプリケーション70は、データを暗号化して汎用オペレーティングシステム62側に送信する。これにより、汎用オペレーティングシステム62がハッキングされた場合に、高OS側アプリケーション70が扱うデータが流出したり改ざんされたりしてしまうことが抑制される。
また、本実施形態では、高OS側アプリケーション70と通信し、ユーザインターフェース機構20を制御するUIアプリケーション83を、汎用オペレーティングシステム62上で動作するアプリケーションとしている。これにより、高OS側アプリケーション70と低OS側アプリケーション80との間で調停や表示態様の統一性を維持することができる。しかも、クラウド通信アプリケーション72と車両内通信アプリケーション73からUIアプリケーション83へ送信するデータは暗号化されている。よって、クラウド通信アプリケーション72と車両内通信アプリケーション73からUIアプリケーション83へデータを送信することにより、そのデータが流出したり、改ざんされたりしてしまうことも抑制される。
また、本実施形態では、高OS側アプリケーション70としてクラウド通信アプリケーション72を備えている。クラウド通信アプリケーション72は、クラウドサーバから車両Cに関する種々の情報または車両Cの乗員に関する種々の情報の少なくとも一方を取得し、取得した情報をUIアプリケーション83に提供することができる。車両Cに関する種々の情報または車両Cの乗員に関する種々の情報が流出したり改ざんされたりしてしまうと、車両の走行に支障をきたす以上の問題が生じる恐れもある。しかし、本実施形態では、クラウド通信アプリケーション72がUIアプリケーション83に送信するデータも暗号化される。よって、車両Cに関する種々の情報または車両Cの乗員に関する種々の情報が流出したり改ざんされたりしてしまうことが抑制される。
また、本実施形態では、暗号化アプリケーション74が、クラウド通信アプリケーション72、車両内通信アプリケーション73からデータを取得して、取得したデータを暗号化する。そして、暗号化したデータをUIアプリケーション83へ送信する。このようにすることで、複数の高OS側アプリケーション70が個別にデータを暗号化するよりも、高OS側アプリケーション70全体のプログラムを小さくできる。
以上、実施形態を説明したが、開示した技術は上述の実施形態に限定されるものではなく、次の変形例も開示した範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施できる。なお、以下の説明において、それまでに使用した符号と同一番号の符号を有する要素は、特に言及する場合を除き、それ以前の実施形態における同一符号の要素と同一である。また、構成の一部のみを説明している場合、構成の他の部分については先に説明した実施形態を適用できる。
<変形例1>
たとえば、実施形態では、1つのコンピュータ40が備える1つのプロセッサモジュール41が、高オペレーティングシステム61と汎用オペレーティングシステム62を並列に実行していた。しかし、これに限られず、1つのコンピュータが複数のプロセッサモジュールを備え、高オペレーティングシステム61を実行するプロセッサモジュールと汎用オペレーティングシステム62を実行するプロセッサモジュールが異なっていてもよい。
たとえば、実施形態では、1つのコンピュータ40が備える1つのプロセッサモジュール41が、高オペレーティングシステム61と汎用オペレーティングシステム62を並列に実行していた。しかし、これに限られず、1つのコンピュータが複数のプロセッサモジュールを備え、高オペレーティングシステム61を実行するプロセッサモジュールと汎用オペレーティングシステム62を実行するプロセッサモジュールが異なっていてもよい。
また、複数のコンピュータを備え、各コンピュータが有線接続されており、高オペレーティングシステム61を実行するコンピュータと、汎用オペレーティングシステム62を実行するコンピュータが別のコンピュータになっていてもよい。この場合、高OS側アプリケーション70と低OS側通信アプリケーションであるUIアプリケーション83との間は、有線通信によりデータ通信が行われる。
<変形例2>
実施形態では、クラウド通信アプリケーション72、車両内通信アプリケーション73が作成したデータを暗号化する暗号化アプリケーション74を備えていた。しかし、クラウド通信アプリケーション72、車両内通信アプリケーション73がそれぞれ、データを暗号化してUIアプリケーション83に送信してもよい。
実施形態では、クラウド通信アプリケーション72、車両内通信アプリケーション73が作成したデータを暗号化する暗号化アプリケーション74を備えていた。しかし、クラウド通信アプリケーション72、車両内通信アプリケーション73がそれぞれ、データを暗号化してUIアプリケーション83に送信してもよい。
<変形例3>
実施形態では、低OS側通信アプリケーションとして、ユーザインターフェース機構20を制御するUIアプリケーション83を備えていた。しかし、低OS側通信アプリケーションは、高OS側アプリケーション70と通信する機能を備えていればよく、ユーザインターフェース機構20を制御する機能以外の機能を備えたアプリケーションでもよい。
実施形態では、低OS側通信アプリケーションとして、ユーザインターフェース機構20を制御するUIアプリケーション83を備えていた。しかし、低OS側通信アプリケーションは、高OS側アプリケーション70と通信する機能を備えていればよく、ユーザインターフェース機構20を制御する機能以外の機能を備えたアプリケーションでもよい。
<変形例4>
実施形態では、高OS側アプリケーション70からUIアプリケーション83へ送信するデータが暗号化されていた。これに加えて、UIアプリケーション83から高OS側アプリケーション70へ送信するデータが暗号化されていてもよい。
実施形態では、高OS側アプリケーション70からUIアプリケーション83へ送信するデータが暗号化されていた。これに加えて、UIアプリケーション83から高OS側アプリケーション70へ送信するデータが暗号化されていてもよい。
<変形例5>
実施形態では、メータアプリケーション71は、データを暗号化せずに、UIアプリケーション83に送信していた。しかし、メータアプリケーション71もデータを暗号化してUIアプリケーション83に送信してもよい。この場合、メータアプリケーション71がデータを暗号化すればよい。あるいは、第1オペレーティングシステム61a上で動作する暗号化アプリケーションを設けてもよい。
実施形態では、メータアプリケーション71は、データを暗号化せずに、UIアプリケーション83に送信していた。しかし、メータアプリケーション71もデータを暗号化してUIアプリケーション83に送信してもよい。この場合、メータアプリケーション71がデータを暗号化すればよい。あるいは、第1オペレーティングシステム61a上で動作する暗号化アプリケーションを設けてもよい。
1:車載システム 20:ユーザインターフェース機構 21:ディスプレイ 22:入力装置 30:無線通信装置 40:コンピュータ(演算装置) 41:プロセッサモジュール 42:RAM 43:フラッシュメモリ 44:バスライン 50:車内LANバス 60:ハイパーバイザー 61:高オペレーティングシステム 61a:第1オペレーティングシステム 61b:第2オペレーティングシステム 62:汎用オペレーティングシステム(低オペレーティングシステム) 70:高OS側アプリケーション 71:メータアプリケーション 72:クラウド通信アプリケーション 73:車両内通信アプリケーション 74:暗号化アプリケーション 80:低OS側アプリケーション 81:マルチメディアアプリケーション 82:UIアプリケーション 83:UIアプリケーション(低OS側通信アプリケーション) C:車両
Claims (6)
- 相互にセキュリティレベルが異なる複数のオペレーティングシステムを実行する演算装置であって、
複数の前記オペレーティングシステムのうちの相対的にセキュリティレベルが低いオペレーティングシステムを低オペレーティングシステム(62)とし、
複数の前記オペレーティングシステムのうち、前記低オペレーティングシステムよりもセキュリティレベルが高いオペレーティングシステムを高オペレーティングシステム(61)としたとき、
前記高オペレーティングシステム上で動作するアプリケーションソフトウェアである少なくとも1つの高OS側アプリケーション(70)と、
前記低オペレーティングシステム上で動作するアプリケーションソフトウェアであって、前記高OS側アプリケーションと通信する低OS側通信アプリケーション(83)とを備え、
前記高OS側アプリケーションと前記低OS側通信アプリケーションとの間は、チップ内アプリケーション通信または有線通信によりデータ通信が行われ、
少なくとも1つの前記高OS側アプリケーションから前記低OS側通信アプリケーションへ送信されるデータは暗号化されており、
前記低OS側通信アプリケーションは、前記高OS側アプリケーションと通信し、暗号化されているデータを復号し、復号したデータに基づいて、ユーザインターフェース機構であるディスプレイ(21)の表示内容を制御するアプリケーションを含み、
前記演算装置は、さらに、
前記低オペレーティングシステム上で動作するアプリケーション(81)から入力されたデータに基づいて定まる表示内容を前記ディスプレイに表示する、前記低オペレーティングシステム上で動作するユーザインターフェースアプリケーション(82)を備える演算装置。 - コンピュータ(40)を備え、
前記高オペレーティングシステムおよび前記低オペレーティングシステムは、前記コンピュータが並列に実行する、請求項1に記載の演算装置。 - 前記コンピュータは少なくとも1つのプロセッサ(41)を備え、
前記高オペレーティングシステムおよび前記低オペレーティングシステムは、同じ前記プロセッサが実行する、請求項2に記載の演算装置。 - 前記演算装置は車両(C)で使用され、
前記高OS側アプリケーションは、前記車両に関する情報または前記車両の乗員に関する情報の少なくとも一方を示すデータを、前記低OS側通信アプリケーションを介して前記ユーザインターフェース機構へ送信する、請求項1~3のいずれか1項に記載の演算装置。 - 前記高OS側アプリケーションとして、
前記低OS側通信アプリケーションへ送信する元データを作成する複数の元データ作成アプリケーション(72、73)と、
複数の前記元データ作成アプリケーションから前記元データを取得して、取得した元データを暗号化したデータを、前記低OS側通信アプリケーションへ送信する暗号化アプリケーション(74)とを備える、請求項1~4のいずれか1項に記載の演算装置。 - 相互にセキュリティレベルが異なる複数のオペレーティングシステムのうちの相対的にセキュリティレベルが低いオペレーティングシステムを低オペレーティングシステム(62)とし、
複数の前記オペレーティングシステムのうち、前記低オペレーティングシステムよりもセキュリティレベルが高いオペレーティングシステムを高オペレーティングシステム(61)としたとき、
前記高オペレーティングシステム上で動作するアプリケーションソフトウェアである少なくとも1つの高OS側アプリケーション(70)から、前記低オペレーティングシステム上で動作するアプリケーションソフトウェアである低OS側通信アプリケーション(83)へデータを送信するデータ送信方法であって、
前記低オペレーティングシステム上で動作するユーザインターフェースアプリケーション(82)が、前記低オペレーティングシステム上で動作するアプリケーション(81)から入力されたデータに基づいて定まる表示内容をディスプレイに表示し、
前記高OS側アプリケーションと前記低OS側通信アプリケーションとの間は、チップ内アプリケーション通信または有線通信によりデータ通信が行われ、
少なくとも1つの前記高OS側アプリケーションが前記低OS側通信アプリケーションへ送信する元データを生成し(S2)、
生成した元データを暗号化したデータを前記低OS側通信アプリケーションへ送信し(S4)、
前記低OS側通信アプリケーションは、暗号化されているデータを復号し、復号したデータに基づいて、ディスプレイ(21)の表示内容を制御する、データ送信方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019127855A JP7131498B2 (ja) | 2019-07-09 | 2019-07-09 | 演算装置およびデータ送信方法 |
| PCT/JP2020/023640 WO2021005978A1 (ja) | 2019-07-09 | 2020-06-16 | 演算装置およびデータ送信方法 |
| US17/563,917 US20220121759A1 (en) | 2019-07-09 | 2021-12-28 | Computing device and data transmission method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019127855A JP7131498B2 (ja) | 2019-07-09 | 2019-07-09 | 演算装置およびデータ送信方法 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2021012653A JP2021012653A (ja) | 2021-02-04 |
| JP2021012653A5 JP2021012653A5 (ja) | 2021-09-09 |
| JP7131498B2 true JP7131498B2 (ja) | 2022-09-06 |
Family
ID=74115259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019127855A Active JP7131498B2 (ja) | 2019-07-09 | 2019-07-09 | 演算装置およびデータ送信方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220121759A1 (ja) |
| JP (1) | JP7131498B2 (ja) |
| WO (1) | WO2021005978A1 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011074168A1 (ja) | 2009-12-14 | 2011-06-23 | パナソニック株式会社 | 情報処理装置 |
| JP2014221620A (ja) | 2013-05-14 | 2014-11-27 | 株式会社デンソー | 表示制御装置、及び、プログラム |
| WO2018008605A1 (ja) | 2016-07-04 | 2018-01-11 | 株式会社Seltech | 人工知能を有するシステム |
| WO2019012956A1 (ja) | 2017-07-11 | 2019-01-17 | 株式会社Seltech | センシング装置、センシングシステム、およびサーバ |
| JP2019066995A (ja) | 2017-09-29 | 2019-04-25 | 株式会社Seltech | セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム |
-
2019
- 2019-07-09 JP JP2019127855A patent/JP7131498B2/ja active Active
-
2020
- 2020-06-16 WO PCT/JP2020/023640 patent/WO2021005978A1/ja active Application Filing
-
2021
- 2021-12-28 US US17/563,917 patent/US20220121759A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011074168A1 (ja) | 2009-12-14 | 2011-06-23 | パナソニック株式会社 | 情報処理装置 |
| JP2014221620A (ja) | 2013-05-14 | 2014-11-27 | 株式会社デンソー | 表示制御装置、及び、プログラム |
| WO2018008605A1 (ja) | 2016-07-04 | 2018-01-11 | 株式会社Seltech | 人工知能を有するシステム |
| WO2019012956A1 (ja) | 2017-07-11 | 2019-01-17 | 株式会社Seltech | センシング装置、センシングシステム、およびサーバ |
| JP2019066995A (ja) | 2017-09-29 | 2019-04-25 | 株式会社Seltech | セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021012653A (ja) | 2021-02-04 |
| WO2021005978A1 (ja) | 2021-01-14 |
| US20220121759A1 (en) | 2022-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3568789B1 (en) | Signature verification of field-programmable gate array programs | |
| US20200235916A1 (en) | Secure memory arrangements | |
| CN108927808B (zh) | 一种ros节点的通信方法、认证方法及装置 | |
| JP6985385B2 (ja) | 仮想セキュリティ環境内でホスティングされるセキュア・サービス | |
| JP2023507027A (ja) | アップグレード方法および装置 | |
| US20220173902A1 (en) | Security protection method in in-vehicle system and device | |
| CN112740180A (zh) | 适用于人工智能辅助的汽车应用的虚拟机存储器的安全访问 | |
| WO2017051171A1 (en) | Private access to human interface devices | |
| CN112948139A (zh) | 使用交换机向加速器安全地广播消息的系统和方法 | |
| CN111475869A (zh) | 通信方法、装置、介质、安全计算模块和安全芯片 | |
| JP7131498B2 (ja) | 演算装置およびデータ送信方法 | |
| US10637827B2 (en) | Security network system and data processing method therefor | |
| CN110955399A (zh) | 车载显示系统、图像显示方法、存储介质和主机 | |
| US10810327B2 (en) | Enforcing secure display view for trusted transactions | |
| JP7464013B2 (ja) | センタ、otaマスタ、方法、プログラム、及び車両 | |
| CN116186709B (zh) | 基于虚拟化VirtIO技术卸载UEFI安全启动的方法、装置及介质 | |
| US20220245252A1 (en) | Seamless firmware update mechanism | |
| KR102549385B1 (ko) | 데이터 액세스 제어 제공 방법 및 시스템 | |
| US20220103516A1 (en) | Secure encrypted communication mechanism | |
| US10638313B2 (en) | Systems and methods for confirming a cryptographic key | |
| US20230179580A1 (en) | Apparatus and method for storing and encrypting data based on adaptive autosar | |
| Ramachandrappa et al. | Hardware-based Cybersecurity for Next-Generation Vehicles | |
| Hryhorenko | Towards Enhanced Security for Automotive Operating Systems | |
| CN117909980A (zh) | 一种启动验证方法及相关装置 | |
| CN117278280A (zh) | 一种智能座舱域控制器信息的传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210728 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210728 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220726 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220808 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7131498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |