JP7177616B2 - CONTROL DEVICE, CONTROL METHOD AND OPERATING METHOD OF UPDATE DATA CONTROL DEVICE - Google Patents
CONTROL DEVICE, CONTROL METHOD AND OPERATING METHOD OF UPDATE DATA CONTROL DEVICE Download PDFInfo
- Publication number
- JP7177616B2 JP7177616B2 JP2018137799A JP2018137799A JP7177616B2 JP 7177616 B2 JP7177616 B2 JP 7177616B2 JP 2018137799 A JP2018137799 A JP 2018137799A JP 2018137799 A JP2018137799 A JP 2018137799A JP 7177616 B2 JP7177616 B2 JP 7177616B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- control
- removal
- storage unit
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
開示の実施形態は、制御装置およびセキュリティ管理方法に関する。 The disclosed embodiments relate to control devices and security management methods.
従来、車両に搭載され、エンジンやトランスミッション、カーナビゲーションといった車両の各種システムをそれぞれ電子制御する制御装置であるECU(Electronic Control Unit)が知られている。かかるECUでは、たとえばマイクロコンピュータ(以下、「マイコン」と記載する)が、ECUの内部に予め保持された制御プログラムを読み出して実行することにより、各ECUに割り当てられた各種機能を実行する。 2. Description of the Related Art Conventionally, an ECU (Electronic Control Unit), which is a control device mounted on a vehicle and electronically controlling various systems of the vehicle such as an engine, a transmission, and a car navigation system, is known. In such an ECU, for example, a microcomputer (hereinafter referred to as "microcomputer") reads out and executes a control program stored in advance in the ECU, thereby executing various functions assigned to each ECU.
なお、このようなECUの制御プログラムは、機能を追加する場合や事後的に不具合が発見された場合などに、更新(リプログラミング)が必要となる場合がある。そこで、近年では、管理センタから無線通信を介して更新用データを取得するとともに、かかる更新用データをCAN(Controller Area Network)等を介して各ECUへ配信し、各ECUのリプログラミングを実行する技術が提案されている(たとえば、特許文献1参照)。また、車両では、上記した更新用データだけでなく、各種のデータをセンタから無線通信を介して取得することが行われている。 It should be noted that the control program for such an ECU may need to be updated (reprogrammed) when a function is added or when a defect is found after the fact. Therefore, in recent years, update data is acquired from a management center via wireless communication, and the update data is distributed to each ECU via a CAN (Controller Area Network) or the like to execute reprogramming of each ECU. Techniques have been proposed (see Patent Document 1, for example). Further, in vehicles, not only the update data described above but also various data are obtained from a center via wireless communication.
しかしながら、上述した従来技術には、データの流出や悪用を防止するうえで、更なる改善の余地がある。 However, the conventional techniques described above have room for further improvement in terms of preventing data leakage and abuse.
たとえば、上述した従来技術では、管理センタから更新用データを取得して各ECUへ配信する制御装置が存在するが、かかる制御装置が更新用データを保持した状態でたとえば悪意の不正者により取り外され、外部へ持ち出された場合、データの流出や悪用が懸念される。 For example, in the conventional technology described above, there is a control device that acquires update data from a management center and distributes it to each ECU. , there are concerns about data leakage and misuse if taken out.
実施形態の一態様は、上記に鑑みてなされたものであって、データの流出や悪用を防止することができる制御装置およびセキュリティ管理方法を提供することを目的とする。 One aspect of the embodiments has been made in view of the above, and an object thereof is to provide a control device and a security management method capable of preventing leakage and abuse of data.
実施形態の一態様に係る制御装置は、記憶部と、制御部とを備える。前記制御部は、自装置へ接続された他装置への配信データを外部から取得して、前記記憶部へ保持させるとともに、前記自装置が他装置または車両から取り外された場合に、前記記憶部に保持された前記配信データを消去する。また、前記制御部は、前記自装置が前記他装置または車両から取り外され、かつ前記配信データが前記記憶部に保持されている場合、取り外しによって前記自装置の電源がオフ状態になる前に、前記取り外しが行われたことを示す履歴情報を前記記憶部へ記録する。 A control device according to an aspect of an embodiment includes a storage unit and a control unit . The control unit acquires from the outside distribution data to be distributed to another device connected to the own device and stores it in the storage unit, and when the own device is removed from the other device or the vehicle, the data stored in the storage delete the distribution data held in the unit; Further, when the self-device is removed from the other device or the vehicle and the distribution data is held in the storage unit, the control unit controls, before the power of the self-device is turned off due to the removal, History information indicating that the removal has been performed is recorded in the storage unit.
実施形態の一態様によれば、データの流出や悪用を防止することができる。 According to one aspect of the embodiments, it is possible to prevent data leakage and abuse.
以下、添付図面を参照して、本願の開示する更新制御装置およびセキュリティ管理方法の実施形態を詳細に説明する。なお、以下に示す実施形態によりこの発明が限定されるものではない。 Hereinafter, embodiments of an update control device and a security management method disclosed in the present application will be described in detail with reference to the accompanying drawings. In addition, this invention is not limited by embodiment shown below.
また、以下では、「リプログラミング」という用語については、短縮して「リプロ」と記載する場合がある。また、以下では、本実施形態に係るセキュリティ管理方法の概要について図1A~図1Cを用いて説明した後に、かかるセキュリティ管理方法を適用したリプロ制御装置10(「制御装置」の一例に相当)を含む車載システム1の具体的な構成例について、図2~図5を用いて説明することとする。 Also, hereinafter, the term "reprogramming" may be abbreviated as "repro". 1A to 1C, an outline of the security management method according to the present embodiment will be described below, and then a repro control device 10 (corresponding to an example of a “control device”) to which the security management method is applied will be described. A specific configuration example of the in-vehicle system 1 including the above will be described with reference to FIGS. 2 to 5. FIG.
まず、本実施形態に係るセキュリティ管理方法の概要について、図1A~図1Cを用いて説明する。図1Aは、本実施形態に係る車載システム1の概要説明図である。また、図1Bは、データ流出のイメージ図である。また、図1Cは、本実施形態に係るセキュリティ管理方法の概要説明図である。 First, an outline of a security management method according to this embodiment will be described with reference to FIGS. 1A to 1C. FIG. 1A is a schematic explanatory diagram of an in-vehicle system 1 according to this embodiment. FIG. 1B is an image diagram of data leakage. Also, FIG. 1C is a schematic explanatory diagram of the security management method according to the present embodiment.
図1Aに示すように、車両Cは、車載システム1を備える。車載システム1は、複数のECU20-1~20-nを備える。ECU20-1~20-nは、CAN等の車載ネットワークCNにより相互通信可能に接続され、それぞれ制御プログラムを実行することによって、たとえばエンジンやトランスミッション、カーナビゲーションといった各種システムを電子制御する。 As shown in FIG. 1A, vehicle C includes an in-vehicle system 1 . The in-vehicle system 1 includes a plurality of ECUs 20-1 to 20-n. The ECUs 20-1 to 20-n are connected by an in-vehicle network CN such as CAN so as to be able to communicate with each other, and electronically control various systems such as an engine, a transmission, and a car navigation system by executing respective control programs.
また、車載システム1は、リプロ制御装置10を備える。リプロ制御装置10は、ECU20-1~20-nのリプログラミングを制御する制御装置であって、OBD(On-board diagnostics)コネクタ30を介して車載ネットワークCNにより、ECU20-1~20-nと相互通信可能に接続される。
The in-vehicle system 1 also includes a
また、リプロ制御装置10は、通信ネットワークNを介してデータセンタのセンタサーバ100と無線通信可能に設けられている。通信ネットワークNは、たとえば携帯電話回線網である。
Also, the
なお、データセンタは、ECU20-1~20-nで動作させる各種プログラムに関するデータを管理する管理センタであり、たとえば車両Cのメーカーによって運営される。センタサーバ100は、かかるデータセンタによって管理・運用され、ECU20-1~20-nの少なくともいずれかに該当する更新用データがある場合に、当該更新用データをリプロ制御装置10へ向けてダウンロードする。
The data center is a management center that manages data relating to various programs operated by the ECUs 20-1 to 20-n, and is operated by the manufacturer of the vehicle C, for example. The
リプロ制御装置10は、かかるセンタサーバ100からダウンロードされる更新用データを取得し、リプロ関連データ13aとして図示略の記憶部13(図2参照)へ保持する。なお、リプロ関連データ13aには、更新用のプログラムデータのほか、暗号化されて送られてくるプログラムデータの復元等でリプログラミング時に必要となる暗号鍵などが含まれる。
The reprocessing
そして、リプロ制御装置10は、保持したリプロ関連データ13aに基づき、リプログラミングの対象となるECU20-1~20-nへ更新用データを配信して、リプログラミングを実行する。リプログラミングの実行後は、リプロ制御装置10は、リプロ関連データ13aを消去する。
Then, the
ところで、こうした無線通信を利用したリプログラミングの方法に対し、車両Cにリプログラミング専用のリプロツールを有線接続し、かかるツールを介して更新用データをインストールするリプログラミングの方法もある。かかる方法の場合、リプログラミングの作業実施者は、車両Cのメーカーの担当者や、ディーラーの整備士など、車両Cの開発・整備等に関わる関係者であることが多いため、データの流出や悪用などの懸念は少ない。 By the way, in addition to the reprogramming method using such wireless communication, there is also a reprogramming method in which a reprogramming tool dedicated to reprogramming is connected to the vehicle C by wire, and update data is installed via the tool. In the case of such a method, the person who performed the reprogramming work is often a person involved in the development and maintenance of vehicle C, such as a person in charge of the manufacturer of vehicle C, a dealer mechanic, etc. Therefore, data leakage and There are few concerns about misuse.
ところが、無線通信を利用したリプログラミングの方法の場合、リプロツールを有していない、車両Cのユーザや、ひいては第三者までもがリプログラミングを実施可能な形態となる。このため、図1Bに示すように、たとえば悪意をもった不正者Mが、リプロ関連データ13aが保持された状態のリプロ制御装置10を取り外して、他の車両C’や解析装置Pに装着し、データを流出させ、悪用するなどの懸念が高まる。
However, in the case of the reprogramming method using wireless communication, the user of the vehicle C, who does not have a repro tool, or even a third party can perform the reprogramming. For this reason, as shown in FIG. 1B, for example, an unauthorized person M with malicious intent removes the
なお、悪意をもっていなくとも、リプロ関連データ13aを保持した状態のリプロ制御装置10を、一般のユーザがたとえば過失により取り外してしまうことは考えられるので、やはりデータの流出は懸念されることとなり、こうした事態に対するセキュリティ対策を講ずる必要がある。
It should be noted that even if there is no malicious intent, it is conceivable that a general user, for example, accidentally removes the
そこで、本実施形態に係るセキュリティ管理方法では、リプロ制御装置10が、自装置の装着状態を監視し、かかる監視によって自装置の取り外しが検知された場合に、その履歴情報を記録し、センタサーバ100へ通知するとともに、記憶部13に保持されたリプロ関連データ13aを消去することとした。
Therefore, in the security management method according to the present embodiment, the
具体的には、図1Cに示すように、本実施形態に係るセキュリティ管理方法では、リプロ制御装置10は、通常動作中に、自装置の装着状態を監視する(ステップS1)。ステップS1では、リプロ制御装置10はたとえば、自装置へ電源を供給する図示略のバッテリ50(図2参照)の電圧状態や、車載ネットワークCNの通信状態を監視する。
Specifically, as shown in FIG. 1C, in the security management method according to the present embodiment, the
そして、リプロ制御装置10は、かかる監視によってたとえば電圧の急激な低下や通信途絶を検出した場合に、自装置の取り外しを検知する(ステップS2)。自装置の取り外しが検知された場合、リプロ関連データ13aが保持されている状態であるならば、リプロ制御装置10は、かかる取り外しに関する履歴情報を記録する(ステップS3)。
Then, when the
また、リプロ制御装置10は、かかる履歴情報を、通信ネットワークNを介してたとえばデータセンタのセンタサーバ100へ通知する(ステップS4)。また、その一方で、リプロ制御装置10は、保持されているリプロ関連データ13aを消去する(ステップS5)。
Further, the
なお、リプロ制御装置10は、バッテリ50からの電源供給が途絶えても、予備的な電源供給が可能な図示略の補助電源15(図2参照)を備えており、かかる補助電源15からの供給電源に応じてステップS2~S5を実行することができる。
The
具体的には、補助電源15が小容量であれば、リプロ制御装置10は、ステップS2およびS3を実行して一旦処理を終了する。そして、リプロ制御装置10は、自装置がいずこか(車両C’や解析装置P等)に再装着されて通常電源が供給された次回起動時に、ステップS4およびS5を実行する。
Specifically, if the capacity of the
一方、補助電源15の容量に余裕があれば、リプロ制御装置10は、ステップS2~S5を連続的に実行し、処理を終了するようにしてもよい。このように、ステップS2~S5を連続的に実行する場合でも、前述のようにステップS2~S5を、装置の終了/起動を挟んで分けて実行する場合でも、たとえば不正者Mがリプロ制御装置10を起動させたときにはリプロ関連データ13aは消去されることとなり、データの流出や悪用を防止することができる。
On the other hand, if the
なお、リプロ制御装置10が取り外された後の次回起動時(リプロ関連データ13aのデータ消去処理時)より前に、リプロ制御装置10からリプロ関連データ13aが記憶された記憶部13のみが取り外されてしまう可能性があるので、リプロ制御装置10の取り外しが検知された時点でリプロ関連データ13aを消去する方が、セキュリティの観点ではよりよい。
It should be noted that only the
また、リプロ制御装置10の取り外しが検知された時点で、前述の暗号鍵のみを消去するように構成してもよい。更新用のプログラムデータは暗号化された状態で記憶されているので、暗号鍵がなければデータの復元はできないうえ、重要度が高い暗号鍵の流出を優先的に防ぐことができるので、セキュリティの観点では効果的である。なお、暗号鍵のみを消去した場合で、仮に取り外しが悪意ある取り外しでなかったとしても、正常な再接続後に、暗号鍵のみをセンタサーバ100から再入手すればよい。
Alternatively, only the above-described encryption key may be deleted when removal of the
なお、ステップS2~S5を、装置の終了/起動を挟んで分けて実行する場合、連続的に実行する場合それぞれの具体的な処理手順については、図4および図5を用いて後述する。 Note that specific processing procedures in the cases where steps S2 to S5 are executed separately at the end/startup of the device and in the cases where they are executed continuously will be described later with reference to FIGS. 4 and 5. FIG.
また、ステップS4で履歴情報をセンタサーバ100へ通知することにより、データセンタでかかる履歴情報を解析することが可能となり、たとえば不正者Mを特定するのに資することができる。
In addition, by notifying the
以下、上述したセキュリティ管理方法を適用したリプロ制御装置10を含む車載システム1について、さらに具体的に説明する。
Hereinafter, the in-vehicle system 1 including the
図2は、本実施形態に係る車載システム1のブロック図である。なお、図2では、本実施形態の特徴を説明するために必要な構成要素のみを表しており、一般的な構成要素についての記載を省略している。 FIG. 2 is a block diagram of the in-vehicle system 1 according to this embodiment. It should be noted that FIG. 2 shows only the constituent elements necessary for explaining the features of this embodiment, and omits the description of general constituent elements.
換言すれば、図2に図示される各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。例えば、各ブロックの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することが可能である。 In other words, each component illustrated in FIG. 2 is functionally conceptual and does not necessarily need to be physically configured as illustrated. For example, the specific form of distribution/integration of each block is not limited to the one shown in the figure. It is possible to integrate and configure.
また、既に説明済みの構成要素については、図2を用いた説明では、説明を簡略化するか省略する場合がある。 Also, with regard to the components that have already been explained, the explanation using FIG. 2 may be simplified or omitted.
図2に示すように、車両Cは、車載システム1を備える。車載システム1は、リプロ制御装置10と、ECU20-1~20-nと、OBDコネクタ30と、ゲートウェイ装置40と、バッテリ50とを備える。
As shown in FIG. 2 , vehicle C includes an in-vehicle system 1 . The in-vehicle system 1 includes a
OBDコネクタ30は、たとえばOBD2(On Board Diagnosis second generation)といった規格に沿った、車両Cのいわゆる自己診断機能用の接続インタフェースである。リプロ制御装置10は、かかるOBDコネクタ30を介して車載ネットワークCNと接続される。ゲートウェイ装置40は、車載ネットワークCNにおけるゲートウェイ機能を提供する。
The
バッテリ50は、車両Cに搭載された主要電源である。リプロ制御装置10は、OBDコネクタ30を介して、かかるバッテリ50から電源供給を受ける。
The
リプロ制御装置10は、通信部11と、GPS(Global Positioning System)センサ12と、記憶部13と、制御部14と、補助電源15とを備える。なお、図2では、補助電源15がリプロ制御装置10の外部に取り付けられている構成を図示しているが、リプロ制御装置10が取り外されても確実に電源供給を行うために、補助電源15がリプロ制御装置10の内部に搭載されていてもよい。
The
通信部11は、たとえば、国際電気通信連合が定める無線通信規格に準拠するNIC(Network Interface Card)等によって実現される。通信部11は、通信ネットワークNと無線で接続され、通信ネットワークNを介してセンタサーバ100との間で情報の送受信を行う。
The
GPSセンサ12は、GPS衛星から受信する電波に基づいて車両Cの現在位置を検知する。
The
記憶部13は、書き替え可能な不揮発性のメモリであり、たとえば、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、図2の例では、リプロ関連データ13aと、取り外し履歴13bとを記憶する。
The
リプロ関連データ13aは、後述する取得部14aによって取得される、センタサーバ100からの更新用データである。なお、既に述べたように、リプロ関連データ13aには、更新用のプログラムデータのほか、リプログラミング時に必要となる暗号鍵など、リプログラミングに関連する種々の情報が含まれる。
The repro-related
取り外し履歴13bは、上述した履歴情報の一例であり、後述する監視部14cによって自装置の取り外しが検知された場合に、監視部14cにより記録される。
The
ここで、取り外し履歴13bの具体例について説明しておく。図3Aは、取り外し履歴13bの具体例を示す図(その1)である。また、図3Bは、取り外し履歴13bの具体例を示す図(その2)である。
Here, a specific example of the
図3Aに示すように、取り外し履歴13bは、たとえば「取り外し時刻」と、「取り外し時現在位置」とを少なくとも含む。「取り外し時現在位置」は、GPSセンサ12の検知結果に基づく。また、図示していないが、リプロ制御装置10のMAC(Media Access Control)アドレスや、車両Cの車台番号、ユーザの特定情報等、種々の識別情報を含んでいてもよい。
As shown in FIG. 3A, the
また、図3Aに示すように、取り外し履歴13bは、さらに「再装着時現在位置」を含んでもよい。「再装着時現在位置」は、リプロ制御装置10がいずこかに再装着されて、再起動したときの現在位置であり、GPSセンサ12の検知結果に基づく。
Further, as shown in FIG. 3A, the
取り外し履歴13bは、かかる「再装着時現在位置」を含んでセンタサーバ100へ通知されることにより、たとえば不正者Mを特定するのに資することができる。
The
図2の説明に戻り、つづいて制御部14について説明する。制御部14は、コントローラ(controller)であり、たとえば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)、マイクロコンピュータ等によって、記憶部13に記憶されている図示略の各種プログラムが図示略のRAM(Random Access Memory)を作業領域として実行されることにより実現される。また、制御部14は、たとえば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路でも実現することができる。
Returning to the description of FIG. 2, the
図2に示すように、制御部14は、取得部14aと、更新処理部14bと、監視部14cと、セキュリティ処理部14dとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
As shown in FIG. 2, the
取得部14aは、通信部11を介してセンタサーバ100から更新用データを取得する。また、取得部14aは、取得した更新用データを、リプロ関連データ13aとして記憶部13に保持させる。
The
更新処理部14bは、リプロ関連データ13aに基づき、ECU20-1~20-nに対するリプログラミングを実施する更新処理を実行する。また、更新処理部14bは、ECU20-1~20-nに対するリプログラミングが正常に実施された後、リプロ関連データ13aを消去する。
The
監視部14cは、自装置すなわちリプロ制御装置10の、OBDコネクタ30への装着状態を監視する。また、監視部14cは、かかる監視において、たとえばバッテリ50の電圧の急激な低下や通信途絶を検出した場合に、自装置の取り外しを検知する。
The
なお、OBDコネクタ30を介さずに、バッテリ50からリプロ制御装置10へ電源供給が行われる構成であっても、バッテリ50のバッテリ電圧を監視することで、車両Cからのリプロ制御装置10の取り外し(バッテリ線の取り外し)を検知することが可能である。リプロ制御装置10の着脱検知としては、OBDコネクタ30の着脱を検知することが望ましいが、上記のように単純にバッテリ線の取り外しを検知する構成であってもよい。
Even in a configuration in which power is supplied from the
また、図2では、監視部14cが、CPU等で構成される制御部14で動作する場合を図示しているが、監視部14cを、常時電源が供給され、動作電圧の低いIC等で構成してもよい。かかる場合、たとえばIGスイッチがオフされて、制御部14が電源オフ状態やスリープモードに移行した場合であっても、監視部14cが動作して取り外しを検知できるように構成することができる。なお、かかる場合に、監視部14cは取り外しを検知すると、制御部14の起動を行う。
FIG. 2 illustrates a case where the
また、監視部14cは、自装置の取り外しを検知した場合に、記憶部13にリプロ関連データ13aが保持されているならば、取り外しによって自装置を終了させる前に、取り外し履歴13bを記録する。
Further, when the
また、監視部14cは、少なくとも取り外しを検知した際の現在時刻(図3Aおよび図3Bの「取り外し時刻」参照)ならびに現在位置(図3Aおよび図3Bの「取り外し時現在位置」参照)を含むように取り外し履歴13bを記録する。
In addition, the
セキュリティ処理部14dは、監視部14cによって自装置の取り外しが検知された場合に、記憶部13に保持されたリプロ関連データ13aを消去する。なお、セキュリティ処理部14dは、たとえば、取り外し後に自装置がいずこかへ再装着され、起動された際に、リプロ関連データ13aを消去する。
The
また、セキュリティ処理部14dは、記憶部13に取り外し履歴13bが記録されている場合に、この取り外し履歴13bを通信部11を介してセンタサーバ100へ通知する。また、セキュリティ処理部14dは、記憶部13に取り外し履歴13bが記録されている場合に、リプロ関連データ13aを消去する。
Further, when the
次に、実施形態に係るリプロ制御装置10が実行する処理手順について、図4を用いて説明する。図4は、実施形態に係るリプロ制御装置10が実行する処理手順を示すフローチャートである。なお、図4には、図1Cで説明した、ステップS2~S5を、装置の終了/起動を挟んで分けて実行する場合の処理手順を示している。すなわち、補助電源15が小容量である場合である。
Next, a processing procedure executed by the
まず、前提として、リプロ制御装置10が正常にOBDコネクタ30へ装着され、通常動作中であるものとする。この場合、図4に示すように、監視部14cは、自装置の装着状態を監視する(ステップS101)。そして、監視部14cは、取り外しを検知しなければ(ステップS102,No)、ステップS101からの処理を繰り返す。
First, as a premise, it is assumed that the
一方、取り外しを検知した場合(ステップS102,Yes)、監視部14cは、記憶部13にリプロ関連データ13aがあるならば(ステップS103,Yes)、取り外し履歴13bを記録する(ステップS104)。
On the other hand, when removal is detected (step S102, Yes), the
また、記憶部13にリプロ関連データ13aがなければ(ステップS103,No)、ステップS105へ移行する。
If there is no repro-related
そして、監視部14cは、リプロ制御装置10を終了させる終了処理を実行する(ステップS105)。なお、つづくステップS106およびS107は、リプロ制御装置10によるものではないので、便宜上破線で示す。
Then, the
まず、取り外されたリプロ制御装置10は、いずこかへ再装着される(ステップS106)。そのうえで、リプロ制御装置10には、電源供給が開始される(ステップS107)。
First, the removed
電源供給が開始されると、リプロ制御装置10は、起動処理を開始する(ステップS108)。かかる起動処理中において、セキュリティ処理部14dは、記憶部13に取り外し履歴13bがあるか否かを判定する(ステップS109)。
When the power supply is started, the
ここで、取り外し履歴13bがある場合(ステップS109,Yes)、セキュリティ処理部14dは、かかる取り外し履歴13bの内容をセンタサーバ100へ通知する(ステップS110)。そのうえで、セキュリティ処理部14dは、記憶部13に保持されているリプロ関連データ13aを消去する(ステップS111)。
Here, if there is a
一方、取り外し履歴13bがない場合(ステップS109,No)、ステップS112へ移行する。なお、取り外し履歴13bがない場合であっても、念のため、ステップS111のリプロ関連データ13aを消去する処理を実行するようにしてもよい。
On the other hand, if there is no
そして、リプロ制御装置10は、起動処理終了後、通常動作を開始する(ステップS112)。なお、図示していないが、ステップS109において取り外し履歴13bがあった場合には、ステップS112で通常動作へ移行するのではなく、終了処理を実行させるようにしてもよい。すなわち、不正者Mにより再装着された可能性がある場合においては、リプロ制御装置10を通常動作させなくともよい。
Then, the
次に、実施形態に係るリプロ制御装置10が実行する処理手順の変形例について、図5を用いて説明する。図5は、実施形態に係るリプロ制御装置10が実行する処理手順の変形例を示すフローチャートである。なお、図5には、図1Cで説明した、ステップS2~S5を連続的に実行する場合の処理手順を示している。
Next, a modification of the processing procedure executed by the
図4の場合と同様に、前提として、リプロ制御装置10が正常にOBDコネクタ30へ装着され、通常動作中であるものとする。この場合、図5に示すように、監視部14cは、自装置の装着状態を監視する(ステップS201)。そして、監視部14cは、取り外しを検知しなければ(ステップS202,No)、ステップS201からの処理を繰り返す。
As in the case of FIG. 4, it is assumed that the
一方、取り外しを検知した場合(ステップS202,Yes)、監視部14cは、記憶部13にリプロ関連データ13aがあるならば(ステップS203,Yes)、取り外し履歴13bを記録する(ステップS204)。
On the other hand, when removal is detected (step S202, Yes), the
セキュリティ処理部14dは、かかる取り外し履歴13bの内容をセンタサーバ100へ通知する(ステップS205)。そして、セキュリティ処理部14dは、記憶部13に保持されているリプロ関連データ13aを消去する(ステップS206)。
The
なお、記憶部13にリプロ関連データ13aがなければ(ステップS203,No)、ステップS207へ移行する。
If there is no repro-related
そして、監視部14cが、リプロ制御装置10を終了させる終了処理を実行し(ステップS207)、処理を終了する。
Then, the
上述してきたように、本実施形態に係るリプロ制御装置10は、取得部14aと、監視部14cと、セキュリティ処理部14dとを備える。取得部14aは、自装置へ接続されたECU20-1~20-n(「他装置」の一例に相当)へのリプロ関連データ13a(「配信データ」の一例に相当)をセンタサーバ100(「外部」の一例に相当)から取得し、記憶部13へ保持させる。監視部14cは、自装置のECU20-1~20-nまたはOBDコネクタ30(「車両」の一例に相当)への装着状態を監視する。セキュリティ処理部14dは、監視部14cによって自装置の取り外しが検知された場合に、記憶部13に保持されたリプロ関連データ13aを消去する。
As described above, the
したがって、本実施形態に係るリプロ制御装置10によれば、データの流出や悪用を防止することができる。
Therefore, according to the
また、セキュリティ処理部14dは、取り外しが検知された後に自装置が起動された際に、リプロ関連データ13aを消去する。
In addition, the
したがって、本実施形態に係るリプロ制御装置10によれば、通常電源が供給された状態でリプロ関連データ13aを消去するので、途中で電源が切れてリプロ関連データ13aの消去が不完全となることがない。すなわち、データの流出や悪用を防止することができる。
Therefore, according to the
また、監視部14cは、上記取り外しを検知した場合に、リプロ関連データ13aが記憶部13に保持されているならば、かかる取り外しによって自装置の電源がオフ状態になる前に、かかる取り外しが行われたことを示す取り外し履歴13b(「履歴情報」の一例に相当)を記憶部13へ記録する。
If the repro-related
したがって、本実施形態に係るリプロ制御装置10によれば、補助電源15が小容量であっても、少なくとも取り外し履歴13bを残すことができる。
Therefore, according to the
また、セキュリティ処理部14dは、取り外し履歴13bをセンタサーバ100へ通知する。
The
したがって、本実施形態に係るリプロ制御装置10によれば、センタサーバ100における解析によってたとえば不正者Mを特定するのに資することができる。
Therefore, according to the
また、セキュリティ処理部14dは、記憶部13に上記取り外しが行われたことを示す取り外し履歴13bが記録されている場合に、リプロ関連データ13aを消去する。
Further, the
したがって、本実施形態に係るリプロ制御装置10によれば、自装置が取り外されたことを示す取り外し履歴13bがあり、データの流出や悪用が懸念される場合に、少なくともリプロ関連データ13aを消去し、データの流出や悪用を防止することができる。
Therefore, according to the
また、監視部14cは、少なくとも取り外しに関する現在時刻ならびに現在位置を含むように取り外し履歴13bを記録する。
In addition, the
したがって、本実施形態に係るリプロ制御装置10によれば、センタサーバ100における解析によってたとえば不正者Mを特定するのに資することができる。
Therefore, according to the
また、リプロ関連データ13aは、車両Cに搭載される装置の制御プログラムの更新に関するデータである。
Further, the repro-related
したがって、本実施形態に係るリプロ制御装置10によれば、車両Cに搭載される装置の制御プログラムの更新に関するデータの流出や悪用を防止することができる。
Therefore, according to the
なお、上述した実施形態では、たとえば不正者Mによって取り外しが行われる場合を例に挙げたが、ユーザや整備士が点検等のために言わば正規に取り外しを行う場合もある。 In the above-described embodiment, for example, the removal is performed by an unauthorized person M, but there are cases in which a user or a mechanic removes the cover properly for inspection or the like.
このような場合に、ダウンロード済みのリプロ関連データ13aがあり、これを消去してしまうと、改めてリプロ関連データ13aをダウンロードする必要があり、通信コストが嵩むことが考えられる。
In such a case, if there is reprogramming-related
したがって、このような正規の取り外しを行う場合には、たとえばメンテナンスモードへ移行するための暗証番号等の入力を受け付け、これに基づく認証処理を行うようにしてもよい。そして、正規に認証されたならば、取り外しが行われても、取り外し履歴13bの記録や、センタサーバ100への通知、リプロ関連データ13aの消去が行われないようにしてもよい。
Therefore, when performing such regular removal, for example, an input of a personal identification number or the like for shifting to the maintenance mode may be received, and authentication processing may be performed based on this input. Then, if it is properly authenticated, even if the removal is performed, the
また、上述した実施形態では、リプロ制御装置10が車載システム1に搭載され、ECU20-1~20-nと接続されて、これらに更新用データを配信してリプログラミングを実行する例を挙げたが、リプロ制御装置10の用途を限定するものではない。
In the above-described embodiment, the
すなわち、リプロ制御装置10は、ECU20-1~20-nに対応するリプログラミング対象となる各種装置が含まれるものであれば、車載システム1に限らず、あらゆる各種システムに搭載させることが可能である。
In other words, the
また、上述してきた「装着状態」は、「接続状態」に読み替えてもよい。 Also, the above-described "mounted state" may be read as "connected state".
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。 Further effects and modifications can be easily derived by those skilled in the art. Therefore, the broader aspects of the invention are not limited to the specific details and representative embodiments so shown and described. Accordingly, various changes may be made without departing from the spirit or scope of the general inventive concept defined by the appended claims and equivalents thereof.
1 車載システム
10 リプロ制御装置
13 記憶部
13a リプロ関連データ
13b 取り外し履歴
14a 取得部
14c 監視部
14d セキュリティ処理部
15 補助電源
20 ECU
30 OBDコネクタ
50 バッテリ
100 センタサーバ
C 車両
1 In-
30
Claims (9)
自装置へ接続された他装置への配信データを外部から取得して、前記記憶部へ保持させるとともに、前記自装置が他装置または車両から取り外された場合に、前記記憶部に保持された前記配信データを消去する制御部と
を備え、
前記制御部は、
前記自装置が前記他装置または車両から取り外され、かつ前記配信データが前記記憶部に保持されている場合、取り外しによって前記自装置の電源がオフ状態になる前に、前記取り外しが行われたことを示す履歴情報を前記記憶部へ記録する
制御装置。 a storage unit;
Acquiring distribution data to another device connected to the own device from the outside and storing it in the storage unit, and storing the data in the storage unit when the own device is removed from the other device or the vehicle a control unit for erasing the distribution data ,
The control unit
When the own device is removed from the other device or the vehicle and the distribution data is held in the storage unit, the removal is performed before the power of the own device is turned off due to the removal. record history information indicating to the storage unit
controller .
前記取り外しが行われた後に前記自装置が起動された場合に、前記配信データを消去する
請求項1に記載の制御装置。 The control unit
Erasing the distribution data when the own device is activated after the removal is performed
A control device according to claim 1 .
前記記憶部に前記取り外しが行われたことを示す前記履歴情報が記録されている場合に、前記配信データを消去する
請求項1に記載の制御装置。 The control unit
erasing the distribution data when the history information indicating that the removal has been performed is recorded in the storage unit;
A control device according to claim 1 .
少なくとも前記取り外しに関する現在時刻ならびに現在位置を含むように前記履歴情報を記録する
請求項1~3のいずれか一つに記載の制御装置。 The control unit
Record the history information to include at least the current time and current location of the removal
A control device according to any one of claims 1 to 3.
請求項1~4のいずれか一つに記載の制御装置。 The distribution data is data relating to the update of the control program of the device mounted on the vehicle.
A control device according to any one of claims 1 to 4 .
自装置へ接続された他装置への配信データを外部から取得して、前記記憶部へ保持させるとともに、前記自装置が他装置または車両から取り外された場合に、前記記憶部に保持された前記配信データを消去する制御部とData distributed to another device connected to the own device is acquired from the outside and stored in the storage unit, and when the own device is removed from the other device or the vehicle, the data stored in the storage unit a control unit for erasing distribution data;
を備え、with
前記配信データは、車両に搭載される装置の制御プログラムの更新に関するデータであるThe distribution data is data relating to the update of the control program of the device mounted on the vehicle.
制御装置。Control device.
前記自装置が前記他装置または車両から取り外され、かつ前記配信データが前記記憶部に保持されている場合、取り外しによって前記自装置の電源がオフ状態になる前に、前記取り外しが行われたことを示す履歴情報を前記記憶部へ記録する
制御方法。 Acquiring distribution data to another device connected to the own device from the outside, storing it in a storage unit of the own device, and storing it in the storage unit when the own device is removed from the other device or the vehicle A control method in which the control unit of the own device performs control to erase the distribution data that has been received,
When the own device is removed from the other device or the vehicle and the distribution data is held in the storage unit, the removal is performed before the power of the own device is turned off due to the removal. record history information indicating to the storage unit
control method.
前記配信データを車両に搭載される装置の制御プログラムの更新に関するデータとするThe distribution data is data relating to updating of a control program of a device mounted on a vehicle.
制御方法。control method.
自装置の前記車両からの取り外しの検知に応答して、前記自装置の電源がオフになる前に、前記取り外しが行われたことを示す履歴情報を前記メモリへ記録するIn response to the detection of removal of the device from the vehicle, history information indicating that the device has been removed is recorded in the memory before the power of the device is turned off.
更新データ制御装置の動作方法。A method of operating an update data controller.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018137799A JP7177616B2 (en) | 2018-07-23 | 2018-07-23 | CONTROL DEVICE, CONTROL METHOD AND OPERATING METHOD OF UPDATE DATA CONTROL DEVICE |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018137799A JP7177616B2 (en) | 2018-07-23 | 2018-07-23 | CONTROL DEVICE, CONTROL METHOD AND OPERATING METHOD OF UPDATE DATA CONTROL DEVICE |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020015338A JP2020015338A (en) | 2020-01-30 |
JP7177616B2 true JP7177616B2 (en) | 2022-11-24 |
Family
ID=69579878
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018137799A Active JP7177616B2 (en) | 2018-07-23 | 2018-07-23 | CONTROL DEVICE, CONTROL METHOD AND OPERATING METHOD OF UPDATE DATA CONTROL DEVICE |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7177616B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006195719A (en) | 2005-01-13 | 2006-07-27 | Nec Corp | Nonvolatile memory device, nonvolatile memory system, data erasure method, program, and storage medium |
JP2014139714A (en) | 2013-01-21 | 2014-07-31 | Yamagata Intech株式会社 | Control system and server device |
JP2017049683A (en) | 2015-08-31 | 2017-03-09 | ルネサスエレクトロニクス株式会社 | Driving recorder, system for determining driving characteristic, and method for outputting data to determine driving characteristic |
JP2017123107A (en) | 2016-01-08 | 2017-07-13 | 株式会社ジェイテクト | Writing device of control program and writing method of control program |
-
2018
- 2018-07-23 JP JP2018137799A patent/JP7177616B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006195719A (en) | 2005-01-13 | 2006-07-27 | Nec Corp | Nonvolatile memory device, nonvolatile memory system, data erasure method, program, and storage medium |
JP2014139714A (en) | 2013-01-21 | 2014-07-31 | Yamagata Intech株式会社 | Control system and server device |
JP2017049683A (en) | 2015-08-31 | 2017-03-09 | ルネサスエレクトロニクス株式会社 | Driving recorder, system for determining driving characteristic, and method for outputting data to determine driving characteristic |
JP2017123107A (en) | 2016-01-08 | 2017-07-13 | 株式会社ジェイテクト | Writing device of control program and writing method of control program |
Also Published As
Publication number | Publication date |
---|---|
JP2020015338A (en) | 2020-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12001857B2 (en) | Device locator disable authentication | |
JP5729337B2 (en) | VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM | |
JP6185772B2 (en) | Information processing apparatus, control method thereof, and program | |
JP2018037059A (en) | On-vehicle update device and on-vehicle update system | |
US20100218012A1 (en) | Methods and systems for providing a wireless security service and/or a wireless technical support service for personal computers | |
US10625754B2 (en) | Control apparatus, control method, and computer program | |
CN107122212A (en) | Firmware encrypting method | |
JP7111030B2 (en) | In-vehicle update device, update processing program, and program update method | |
WO2018043107A1 (en) | On-board update device and on-board update system | |
CN107102849B (en) | Method and apparatus for file replacement with periodic ignition switch off | |
CN111352862A (en) | Key destroying method, system, password card and password machine | |
JP7177616B2 (en) | CONTROL DEVICE, CONTROL METHOD AND OPERATING METHOD OF UPDATE DATA CONTROL DEVICE | |
CN111583460B (en) | Authentication method and device and computer equipment | |
JP2012242900A (en) | On-vehicle control unit | |
CN113254047A (en) | Vehicle configuration upgrading method, vehicle-mounted terminal, server, vehicle and medium | |
CN110770728A (en) | Unmanned aerial vehicle control method, unmanned aerial vehicle and terminal for controlling unmanned aerial vehicle | |
JP6237543B2 (en) | In-vehicle device | |
FR3096153A1 (en) | Method and device for returning to a state prior to a software update of a remote vehicle computer | |
CN111125771B (en) | Method and device for protecting equipment privacy, electronic equipment and storage medium | |
JP7369516B2 (en) | Recording device, recording system, recording method and recording program | |
WO2016115808A1 (en) | Method and apparatus for configuring operating mode | |
JP6698778B2 (en) | Control system | |
CN108882217B (en) | Method for writing Bluetooth MAC addresses in batches and Bluetooth equipment thereof | |
EP3363178B1 (en) | Electronic device comprising a secure module supporting a mode for the local management of the configuration of a subscriber profile | |
EP3317800B1 (en) | Method of managing profiles in a secure element |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210630 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220630 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220712 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220908 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221018 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221111 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7177616 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |