JP7427697B2 - 電子機器監視装置、移動体、及び電子機器監視方法 - Google Patents

電子機器監視装置、移動体、及び電子機器監視方法 Download PDF

Info

Publication number
JP7427697B2
JP7427697B2 JP2022017666A JP2022017666A JP7427697B2 JP 7427697 B2 JP7427697 B2 JP 7427697B2 JP 2022017666 A JP2022017666 A JP 2022017666A JP 2022017666 A JP2022017666 A JP 2022017666A JP 7427697 B2 JP7427697 B2 JP 7427697B2
Authority
JP
Japan
Prior art keywords
data
application
verification process
electronic device
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022017666A
Other languages
English (en)
Other versions
JP2023115450A (ja
Inventor
久浩 加藤
弘昭 伯川
知也 西野
登 宇治川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2022017666A priority Critical patent/JP7427697B2/ja
Priority to US18/155,158 priority patent/US20230252155A1/en
Priority to CN202310076569.5A priority patent/CN116578963A/zh
Publication of JP2023115450A publication Critical patent/JP2023115450A/ja
Application granted granted Critical
Publication of JP7427697B2 publication Critical patent/JP7427697B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Description

本発明は、電子機器監視装置、移動体、及び電子機器監視方法に関する。
従来、電子機器を起動する際に、ファームウェア等のデータの改ざんの有無を検証し、改ざんがないことが認証された場合に機器を起動するセキュアブート技術が知られている(例えば、特許文献1参照)。特許文献1には、改ざんの有無を検証する対象である複数のファームウェアについて、改ざんがないことをまとめて認証することによって、起動時間を短くする技術が開示されている。
特開2021-2168号公報
電子機器の一例である移動体においても、交通の安全性を向上させるために、移動体の使用を開始する際に、データの改ざんがなされていないことを検証することが望まれるが、改ざんの有無の検証処理によって、電子機器の起動が完了するまでの時間が長くなると、利用者の使い勝手が悪くなるという不都合がある。また、データの改ざんがなされていないことの検証を、エネルギー効率の改善を図って行うことが望まれる。
本発明はかかる背景に鑑みてなされたものであり、データの改ざんがなされていないことの検証をエネルギー効率の改善を図って行いつつ、電子機器の使用開始時の起動時間が長くなることを抑制した電子機器監視装置、移動体、及び電子機器監視方法を提供することを目的とする。
上記目的を達成するための第1態様として、電子機器が使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して、所定の待機処理を実行する制御部と、改ざんの有無を検証する改ざん検証処理の対象となる特定データが保存された記憶部と、を備える電子機器監視装置であって、前記特定データは、前記電子機器の使用開始時に実行されるアプリケーションのデータであって、前記アプリケーションは第1アプリケーションと第2アプリケーションとを含み、前記第1アプリケーションについては、前記第1アプリケーションの実行と前記第1アプリケーションのデータについての前記改ざん検証処理を並行して行うことが可能であり、前記第2アプリケーションについては、前記第2アプリケーションのデータについての前記改ざん検証処理を完了した後に、前記第2アプリケーションの実行が可能となる設定とされ、前記制御部は、前記特定データを細分化した複数のサブデータについて、予め設定された順序で、前記アクティブ状態に移行する毎に、少なくとも一つの前記サブデータについて前記改ざん検証処理を行う、サブデータ検証処理を実行し、前記改ざん検証処理が完了していない前記サブデータが、前記第1アプリケーションのデータであるときには、前記第1アプリケーションのデータについての前記改ざん検証処理と前記第1アプリケーションの実行を並行して行う、電子機器監視装置が挙げられる。
上記電子機器監視装置において、前記制御部は、前記改ざん検証処理が完了していない前記サブデータが、前記第2アプリケーションのデータであるときには、前記第2アプリケーションのデータについての前記改ざん検証処理を行った後に前記第2アプリケーションを実行する構成としてもよい。
上記電子機器監視装置において、前記制御部は、前記サブデータ検証処理により、全ての前記サブデータについて改ざんが無いことを検証したときに、前記特定データが改ざんされていないことを示す改ざん無確認情報を、前記記憶部に保存する構成としてもよい。
上記電子機器監視装置において、前記制御部は、前記電子機器の使用開始条件が成立したときに、前記記憶部に前記改ざん無確認情報が保存されているときには、前記特定データについての再度の前記改ざん検証処理を行うことなく、前記電子機器の起動処理を実行する構成としてもよい。
上記電子機器監視装置において、前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了した時点から所定時間が経過した時に、前記サブデータ検証処理を再度実行する構成としてもよい。
上記電子機器監視装置において、前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了する前に、前記電子機器の使用開始条件が成立したときには、前記改ざん検証処理が完了していない前記サブデータについてのみ、前記改ざん検証処理を行った後に、前記電子機器の起動処理を実行する構成としてもよい。
上記電子機器監視装置において、前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了する前に、前記電子機器の使用開始条件が成立して、前記改ざん検証処理が完了していない前記サブデータについて前記改ざん検証処理を行った後に、前記電子機器の起動処理を実行したときに、既に前記改ざん検証処理が完了していた前記サブデータについても、前記改ざん検証処理を再度行う構成としてもよい。
上記電子機器監視装置において、前記制御部は、前記サブデータ検証処理によって前記サブデータの改ざんを認識したときに、所定のフェイルセーフ処理を実行する構成としてもよい。
上記目的を達成するための第2態様として、上記電子機器監視装置を備えた電子機器である移動体が挙げられる。
上記目的を達成するための第3態様として、コンピュータにより実行される電子機器監視方法であって、電子機器が使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して、所定の待機処理を実行するステップと、記憶部に保存されて改ざんの有無を検証する改ざん検証処理の対象となる特定データを、細分化した複数のサブデータについて、予め設定された順序で、前記アクティブ状態に移行する毎に、少なくとも一つの前記サブデータについて前記改ざん検証処理を行う、サブデータ検証処理を実行するステップと、を含み、前記特定データは、前記電子機器の使用開始時に実行されるアプリケーションのデータであって、前記アプリケーションは第1アプリケーションと第2アプリケーションとを含み、前記第1アプリケーションについては、前記第1アプリケーションの実行と前記第1アプリケーションのデータについての前記改ざん検証処理を並行して行うことが可能であり、前記第2アプリケーションについては、前記第2アプリケーションのデータについての前記改ざん検証処理を完了した後に、前記第2アプリケーションの実行が可能となる設定とされ、前記改ざん検証処理が完了していない前記サブデータが、前記第1アプリケーションのデータであるときには、前記第1アプリケーションのデータについての前記改ざん検証処理と前記第1アプリケーションの実行を並行して行う、ステップを含む電子機器監視方法が挙げられる。
上記電子機器監視装置、移動体、及び電子機器監視方法によれば、データの改ざんがなされていないことの検証をエネルギー効率の改善を図って行いつつ、電子機器の使用開始時の起動時間が長くなることを抑制することができる。
図1は、電子機器監視装置の構成図である。 図2は、監視処理と改ざん検証処理のフローチャートである。 図3は、車両が使用されていない期間における改ざん検証処理の説明図である。 図4は、全てのサブデータについての改ざん検証処理が完了する前に、車両の使用が開始された場合の説明図である。
[1.電子機器監視装置の構成]
図1を参照して、本実施形態の電子機器監視装置の構成について説明する。本実施形態の電子機器監視装置は、車両1に備えられて、車両1の作動を制御するECU(Electronic Control Unit)10の機能として構成される。ECU10は、プロセッサ20、メモリ30等を備える。車両1は本開示の移動体及び電子機器に相当する。
車両1には、通信ユニット40と、車両1の周辺を撮影するカメラ41と、車両1の振動を検出する振動センサ42が備えられ、ECU10は、通信ユニット40を介して、車両1の利用者により使用される携帯端末50及び携帯鍵51との間で通信を行う。また、カメラ41による撮影画像と、振動センサ42による振動検出信号がECU10に入力される。携帯端末50は、スマートフォン、携帯電話、タブレット端末等の通信端末であり、車両1の仮想鍵として機能する仮想鍵アプリ(アプリケーションプログラム)がインストールされている。
メモリ30には、車両1の制御プログラム31、及び車両1の使用開始時に実行される移動体起動アプリ32が保存されている。さらに、メモリ30には、移動体起動アプリ32についてデータの改ざんが無いことが検証されたことを示す改ざん無確認情報33が保存される。移動体起動アプリ32のデータは、本開示の電子機器の使用開始時に実行されるアプリケーションのデータ及び特定データに相当する。
移動体起動アプリ32には、第1アプリ32aと第2アプリ32bを含む。第1アプリ32aは本開示の第1アプリケーションに相当し、第2アプリ32bは本開示の第2アプリケーションに相当する。第1アプリ32aについては、第1アプリ32aのデータの改ざんが無いことの検証と第1アプリ32aの実行を並行して行うことが可能な設定となっている。第2アプリ32bについては、第2アプリ32bのデータの改ざんが無いことの検証が完了した後に、第2アプリ32bの実行が可能となる設定となっている。第1アプリ32aのデータはサブデータ1~50に細分化され、第2アプリ32bは、サブデータ51~100に細分化されている。
プロセッサ20は、制御プログラム31を読み込んで実行することにより、制御部21として機能する。制御部21により実行される処理には、本開示の電子機器監視方法による所定の待機処理を実行するステップと、サブデータ検証処理を実行するステップとが含まれる。制御部21は、車両1が使用されていない期間に、ECU10を周期的にスリープ状態からアクティブ状態に移行させて、車両1の監視処理を行う。
スリープ状態では、プロセッサ20の処理性能がアクティブ状態よりも低下して、消費電力がアクティブ状態よりも減少する。制御部21は、ECU10がスリープ状態であるときは、携帯端末50、携帯鍵51との通信による車両1の使用開始操作の受け付け等の限定的な処理のみを行う。
制御部21は、車両1の監視処理として、車両1に対するいたずら等により、振動センサ42により車両1の振動が検出されたときに、車両1に備えらえたホーン(図示しない)を鳴動させる、利用者の携帯端末50に通知する等の処理を実行する。監視処理は、本開示の待機処理に相当する。なお、カメラ41による車両1の周辺の撮像画像から、車両1に近づく不審者等を認識したときに、車両1に備えらえたホーンを鳴動させる、利用者の携帯端末50に通知する等の処理を実行してもよい。待機処理には、監視処理の他に、車両1のメンテナンス情報の携帯端末50或いは車両管理サーバー(図示しない)への送信等が含まれる。また、制御部21は、移動体起動アプリ32のデータの改ざんの有無を検証する改ざん検証を行う。
[2.不使用期間中の処理]
図2、図3を参照して、車両1の不使用期間中に、制御部21が実行する車両1の監視処理と移動体起動アプリ32のデータについての改ざん検証処理について説明する。
制御部21は、車両1の不使用期間中に、図2に示したフローチャートによる処理を繰り返し実行する。制御部21は、ステップS200で変数nをリセット(0→n)し、続くステップS210で、各サブデータの検証結果と改ざん無確認情報をクリアする。次のステップS202~S206、及びステップS220、S221のループ処理により、制御部21は、第1アプリ32aと第2アプリ32bのサブデータ1~100について、サブデータ1、サブデータ2、…、サブデータ100の順に改ざん検証処理を行う、サブデータ検証処理を実行する。
制御部21は、ステップS202で変数nをインクリメント(n+1→n)し、ステップS204で監視タイマをスタートさせる。次のステップS204で監視タイマがタイムアップしたときに、制御部21は、ステップS205で上述した監視処理を実行する。また、ステップS204と並行して、ステップS220でサブデータnについて改ざん検証処理を実行する。続くステップS221で、制御部21は、改ざん検証処理による検証結果(改ざん有又は改ざん無)をメモリ30に保存する。
そして、制御部21は、サブデータ1~100の全てについて、改ざん検証処理が完了して、ステップS206でn=100となったときにステップS207に処理を進める。ステップS207で、制御部21は、サブデータ1~100の全てについて、改ざんが無いことが検証されたか否かを判断する。そして、制御部21は、サブデータ1~100の全てについて、改ざんが無いことが検証されたときはステップS230に処理を進めて、改ざん無確認情報33をメモリ30に保存する。
一方、サブデータ1~100のうちの少なくともいずれか一つについて、改ざんが有ることが検証されたときには、制御部21は、ステップS208に処理を進め、この場合は、改ざん無確認情報33がメモリ30に保存されない。そして、制御部21は、その後、例えば、車両1の電源がオンされたタイミングで、フェイルセーフ処理として、以下の第1処理~第3処理を実行する。
第1処理…異常状態の通知。例えば、以下のように異常状態を通知する。車両1のメーター、ディスプレイ等に、改ざんによる異常が生じていることを表示して、利用者に通知する。通信ユニット40を介して、携帯端末50、車両管理サーバー、保険会社サーバー、セキュリティ会社サーバー等に、改ざん異常情報を送信する。車両1のスピーカーからブザー音を出力して、異常が生じていることを利用者に報知する。
第2処理…走行の禁止。イモビライザーによる認証を禁止して、車両1のパワープラント系の駆動を許可しない。
第3処理…再OTA(Over The Air)の実施。正規のアプリケーションプログラムにアップデートするように、利用者に促す通知を行う。
次のステップS208で、制御部21は、検証有効タイマをスタートさせる。検証有効タイマの設定時間は、本開示の所定時間に相当する。続くステップS209で検証有効タイマがタイムアップするまで、制御部21は、ステップS240に処理を進めて、ステップS205と同様に車両1の監視処理を定期的に実行する。ステップS209で検証有効タイマがタイムアップしたときに、制御部21は、図2のフローチャートによるサブデータ検証処理を再度実行する。
図3は、以上説明した図2のフローチャートによる処理をタイミングチャートで示した説明図である。図3は、共通の時間軸tにより、ECU10の起動(スリープ状態からアクティブ状態への移行)、車両1の電源のオン・オフ状態、及び監視処理と改ざん検証処理の実行タイミングを示したものである。
図3では、監視タイマの設定時間である周期Tcで、t1、t2、…、t99、t100のタイミングで、制御部ECU10がスリープ状態からアクティブ状態に移行して、車両1の監視処理とサブデータ1~100の改ざん検証処理が、並行して実行されている。例えば、t1のタイミングでは、制御部21は、F1の処理を実行する。F1の処理により、制御部21は、ステップS1-1でECU10を起動し(スリープ状態からアクティブ状態に移行)、ステップS1-2で監視処理を実行すると共に、ステップS1-3でサブデータ1についての改ざん検証処理を実行して、ステップS1-4で、検証結果をメモリ30に保存する。
同様にして、制御部21は、t2、t3、…、t100のタイミングで、F2、F3、…、F100の処理を実行して、サブデータ2~100について改ざん検証処理を実行する。F100では、制御部21は、ステップS100―5で、全てのサブデータについて、改ざんが無いことが検証されたときに、ステップS100-6で、改ざん無確認情報33をメモリ30に保存する。
[3.車両の使用が開始された場合の処理]
制御部21は、サブデータ1~100の全てについて改ざんが無いことを検証して、改ざん無確認情報33がメモリ30に保存されている状態で、利用者による車両1の使用開始の操作がなされたときは、移動体起動アプリ32のデータについて、改ざん検証処理を行うことなく、移動体起動アプリ32を実行する。利用者による車両1の使用開始操作は、本開示の電子機器の使用開始条件に相当する。なお、例えば、車両が予め設定された運行スケジュールに従って走行する自動運転車両であるときには、運行開始時刻になることが、使用開始条件となる。
一方、サブデータ1~100の全てについての改ざん検証処理が完了する前に、利用者による車両1の使用開始の操作がなされたときには、図4に示したように、改ざん検証処理が完了していないサブデータについて、改ざん検証処理を実行する。図4は、サブデータ1~3まで、改ざん検証処理が完了した状態で、teのタイミングで車両1の使用開始操作がなされた場合を例示している。
制御部21は、Feの処理を実行して、ステップSe-1でECU10を起動する。そして、制御部21は、ステップSe-2のサブデータ4~50についての改ざん検証処理とステップSe-4の第1アプリ32aの実行を並行して実行する。制御部21は、サブデータ4~60についての改ざん検証処理の完了後、ステップSe-3で、サブデータ51~100についての改ざん検証処理を実行する。
制御部21は、サブデータ51~100についての改ざん検証処理が完了したときに、ステップSe-5で、第2アプリ32bの実行を開始する。このように、第1アプリ32aについては、データの改ざんが無いことの検証と並行して実行可能な設定とすることにより、車両1の使用を開始する際の起動時間を短縮することができる。
[4.他の実施形態]
上記実施形態では、本開示の電子機器監視装置を備えた電子機器である移動体として、車両(四輪車両、二輪車両、内燃機関を駆動源とする車両、電動車両等の各種の車両が含まれる)を例示したが、飛行体、船舶等の他の種別の移動体であってもよい。
また、上記実施形態では、本開示の電子機器として車両1に搭載されたECU10を例示したが、使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して所定の待機処理を実行し、改ざんの有無を検証する改ざん検証処理の対象となる特定データが保存された記憶部を有する電子機器であれば、本開示の電子機機器監視装置による処理の対象とすることができる。
上記実施形態では、本開示の特定データとして移動体起動アプリ32のデータを例示したが、本開示の特定データは、改ざんが無いことの検証が必要なデータであればよい。
上記実施形態では、移動体起動アプリ32のデータを、サブデータ1~100に細分化したが、細分化するサブデータの数は任意に設定可能である。
上記実施形態では、車両1の監視処理と並行して一つのサブデータの改ざん検証処理を実行したが、車両1の監視処理と並行して2以上のサブデータの改ざん検証処理を実行してもよい。
上記実施形態では、移動体起動アプリ32に、第1アプリ32aと第2アプリ32bが含まれ、第1アプリ32aについては、データの改ざん検証処理を第1アプリ32aの実行と並行して行うことが可能な設定とし、第2アプリ32bについては、データの改ざん検証処理が完了した後に第2アプリ32bの実行が可能な設定とした。他の実施形態として、このような区別の設定をせずに、全てのサブデータについての改ざん検証処理が完了した後に、移動体起動アプリ32の実行が可能な設定としてもよい。
全てのサブデータについての改ざん検証処理が完了した後に、移動体起動アプリ32の実行が可能な設定した場合には、車両1の使用開始操作がなされたときに、改ざん検証処理が完了していないサブデータがあるときに、改ざん検証処理が完了していないサブデータについての改ざん検証処理を実行してから、移動体起動アプリ32を実行する構成となる。この場合、既に改ざん検証処理が完了していたサブデータについても、再度、改ざん検証処理を実行することにより、改ざんに対する信頼性を高めることができる。
上記実施形態では、図2のステップS208、S209の処理により、一定時間が経過する毎に、サブデータ検証処理を繰り返し実行するようにしたが、ステップS208、S209を省略して、一定時間の経過を待つことなくサブデータ検証処理を繰り返し実行するようにしてもよい。
なお、図1は、本願発明の理解を容易にするために、ECU10の機能として構成される電子機器監視装置の構成を、主な処理内容により区分して示した概略図であり、電子機器管理装置を他の区分によって構成してもよい。また、各構成要素の処理は、1つのハードウェアユニットにより実行されてもよいし、複数のハードウェアユニットにより実行されてもよい。また、図2~図4に示した各構成要素による処理は、1つのプログラムにより実行されてもよいし、複数のプログラムにより実行されてもよい。
[5.上記実施形態によりサポートされる構成]
上記実施形態は、以下の構成の具体例である。
(構成1)電子機器が使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して、所定の待機処理を実行する制御部と、改ざんの有無を検証する改ざん検証処理の対象となる特定データが保存された記憶部と、を備える電子機器監視装置であって、前記制御部は、前記特定データを細分化した複数のサブデータについて、予め設定された順序で、前記アクティブ状態に移行する毎に、少なくとも一つの前記サブデータについて前記改ざん検証処理を行う、サブデータ検証処理を実行する電子機器監視装置。
構成1の電子機器監視装置によれば、制御部がスリープ状態からアクティブ状態に移行するタイミングに合わせてサブデータの改ざん検証処理を行うことで、アクティブ状態に移行する頻度を低減してエネルギー効率を向上させることができる。また、電子機器が使用されていない期間に、予めサブデータの改ざん検証処理を行うことにより、移動体の使用が開始される際に、改ざん検証処理によって改ざんが無いことが既に検証されているサブデータについての再度の改ざん検証処理を省略して、電子機器の起動時間が長くなることを抑制することができる。
(構成2)前記制御部は、前記サブデータ検証処理により、全ての前記サブデータについて改ざんが無いことを検証したときに、前記特定データが改ざんされていないことを示す改ざん無確認情報を、前記記憶部に保存する構成1に記載の電子機器監視装置。
構成2の電子機器監視装置によれば、改ざん無確認情報の記憶部への保存の有無により、特定データが改ざんされていないことを容易に確認することができる。
(構成3)前記制御部は、前記電子機器の使用開始条件が成立したときに、前記記憶部に前記改ざん無確認情報が保存されているときには、前記特定データについての再度の前記改ざん検証処理を行うことなく、前記電子機器の起動処理を実行する構成2に記載の電子機器監視装置。
構成3の電子機器監視装置によれば、改ざん無確認情報が保存されているときに、特定データについての改ざん検証処理を省略することで、電子機器の使用開始時に起動処理が完了するまでの時間を短縮することができる。
(構成4)前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了した時点から所定時間が経過した時に、前記サブデータ検証処理を再度実行する構成1から構成3のうちいずれか一つの構成に記載の電子機器監視装置。
構成4の電子機器監視装置によれば、サブデータ検証処理を再度実行することにより、特定データが改ざんされていないことの検証の信頼性を高めることができる。
(構成5)前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了する前に、前記電子機器の使用開始条件が成立したときには、前記改ざん検証処理が完了していない前記サブデータについてのみ、前記改ざん検証処理を行った後に、前記電子機器の起動処理を実行する構成1から構成4のうちいずれか一つの構成に記載の電子機器監視装置。
構成5の電子機器監視装置によれば、既に改ざん検証処理が完了しているサブデータについての改ざん検証処理を省略することにより、電子機器の起動処理が完了するまでの時間を短縮することができる。
(構成6)前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了する前に、前記電子機器の使用開始条件が成立して、前記改ざん検証処理が完了していない前記サブデータについて前記改ざん検証処理を行った後に、前記電子機器の起動処理を実行したときに、既に前記改ざん検証処理が完了していた前記サブデータについても、前記改ざん検証処理を再度行う構成5に記載の電子機器監視装置。
構成6の電子機器監視装置によれば、既に改ざん検証処理が完了していたサブデータについて、改ざん検証処理を再度行うことによって、特定データが改ざんされていないことの検証の信頼性を高めることができる。
(構成7)前記特定データは、前記電子機器の使用開始時に実行されるアプリケーションのデータであって、前記アプリケーションは第1アプリケーションと第2アプリケーションとを含み、前記第1アプリケーションについては、前記第1アプリケーションの実行と前記第1アプリケーションのデータについての前記改ざん検証処理を並行して行うことが可能であり、前記第2アプリケーションについては、前記第2アプリケーションのデータについての前記改ざん検証処理を完了した後に、前記第2アプリケーションの実行が可能となる設定とされ、前記制御部は、前記改ざん検証処理が完了していない前記サブデータが、前記第1アプリケーションのデータであるときには、前記第1アプリケーションのデータについての前記改ざん検証処理と前記第1アプリケーションの実行を並行して行い、前記改ざん検証処理が完了していない前記サブデータが、前記第2アプリケーションのデータであるときには、前記第2アプリケーションのデータについての前記改ざん検証処理を行った後に前記第2アプリケーションを実行する構成1から構成4のうちいずれか一つの構成に記載の電子機器監視装置。
構成7の電子機器監視装置によれば、改ざん検証処理が完了していない第1アプリケーションのデータについての改ざん検証処理を、第1アプリケーションの実行と並行して行うことによって、電子機器の起動処理が完了するまでの時間を短縮することができる。
(構成8)前記制御部は、前記サブデータ検証処理によって前記サブデータの改ざんを認識したときに、所定のフェイルセーフ処理を実行する構成1から構成7のうちいずれか一つの構成に記載の電子機器監視装置。
構成8の電子機器監視装置によれば、サブデータの改ざんが認識されたときに、フェイルセーフ処理を実行することによって、移動体の適切な使用をサポートすることができる。
(構成9)構成1から構成8のうちいずれか一つの構成に記載の電子機器監視装置を備えた電子機器である移動体。
車両等の移動体においては、移動体の使用が開始される際に、利用者が移動体に接近したタイミングでのライトの点灯(ウェルカム演出)、ドアの解錠、電源のオン等の処理が実行される。そして、これらの処理の即時応答性を確保することが、移動体の利用者の利便性を向上させる上で重要である。そこで、構成9の移動体に、構成1から構成8の電子機器監視装置を備えることにより、移動体で使用される特定データについて、事前に改ざん検証処理を実行することにより、上記処理の即時応答性を高めることができる。
(構成10)コンピュータにより実行される電子機器監視方法であって、電子機器が使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して、所定の待機処理を実行するステップと、記憶部に保存されて改ざんの有無を検証する改ざん検証処理の対象となる特定データを、細分化した複数のサブデータについて、予め設定された順序で、前記アクティブ状態に移行する毎に、少なくとも一つの前記サブデータについて前記改ざん検証処理を行う、サブデータ検証処理を実行するステップと、を含む電子機器監視方法。
構成10の電子機器監視方法をコンピュータにより実行することによって、構成1の電子機器監視装置と同様の作用効果を得ることができる。
1…車両(移動体、電子機器)、10…ECU(電子機器監視装置)、20…プロセッサ、21…制御部、30…メモリ(記憶部)、31…制御プログラム、32…移動体起動アプリ(特定データ)、32a…第1アプリ、32b…第2アプリ、33…改ざん無確認情報、40…通信ユニット、41…カメラ、42…振動センサ、50…携帯端末、51…携帯鍵。

Claims (10)

  1. 電子機器が使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して、所定の待機処理を実行する制御部と、
    改ざんの有無を検証する改ざん検証処理の対象となる特定データが保存された記憶部と、
    を備える電子機器監視装置であって、
    前記特定データは、前記電子機器の使用開始時に実行されるアプリケーションのデータであって、前記アプリケーションは第1アプリケーションと第2アプリケーションとを含み、前記第1アプリケーションについては、前記第1アプリケーションの実行と前記第1アプリケーションのデータについての前記改ざん検証処理を並行して行うことが可能であり、前記第2アプリケーションについては、前記第2アプリケーションのデータについての前記改ざん検証処理を完了した後に、前記第2アプリケーションの実行が可能となる設定とされ
    前記制御部は、前記特定データを細分化した複数のサブデータについて、予め設定された順序で、前記アクティブ状態に移行する毎に、少なくとも一つの前記サブデータについて前記改ざん検証処理を行う、サブデータ検証処理を実行し、前記改ざん検証処理が完了していない前記サブデータが、前記第1アプリケーションのデータであるときには、前記第1アプリケーションのデータについての前記改ざん検証処理と前記第1アプリケーションの実行を並行して行う、
    電子機器監視装置。
  2. 前記制御部は、前記改ざん検証処理が完了していない前記サブデータが、前記第2アプリケーションのデータであるときには、前記第2アプリケーションのデータについての前記改ざん検証処理を行った後に前記第2アプリケーションを実行する
    請求項1に記載の電子機器監視装置。
  3. 前記制御部は、前記サブデータ検証処理により、全ての前記サブデータについて改ざんが無いことを検証したときに、前記特定データが改ざんされていないことを示す改ざん無確認情報を、前記記憶部に保存する
    請求項1又は請求項2に記載の電子機器監視装置。
  4. 前記制御部は、前記電子機器の使用開始条件が成立したときに、前記記憶部に前記改ざん無確認情報が保存されているときには、前記特定データについての再度の前記改ざん検証処理を行うことなく、前記電子機器の起動処理を実行する
    請求項に記載の電子機器監視装置。
  5. 前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了した時点から所定時間が経過した時に、前記サブデータ検証処理を再度実行する
    請求項1から請求項のうちいずれか1項に記載の電子機器監視装置。
  6. 前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了する前に、前記電子機器の使用開始条件が成立したときには、前記改ざん検証処理が完了していない前記サブデータについてのみ、前記改ざん検証処理を行った後に、前記電子機器の起動処理を実行する
    請求項1から請求項のうちいずれか1項に記載の電子機器監視装置。
  7. 前記制御部は、前記サブデータ検証処理により全ての前記サブデータについての前記改ざん検証処理を完了する前に、前記電子機器の使用開始条件が成立して、前記改ざん検証処理が完了していない前記サブデータについて前記改ざん検証処理を行った後に、前記電子機器の起動処理を実行したときに、既に前記改ざん検証処理が完了していた前記サブデータについても、前記改ざん検証処理を再度行う
    請求項に記載の電子機器監視装置。
  8. 前記制御部は、前記サブデータ検証処理によって前記サブデータの改ざんを認識したときに、所定のフェイルセーフ処理を実行する
    請求項1から請求項7のうちいずれか1項に記載の電子機器監視装置。
  9. 請求項1から請求項8のうちいずれか1項に記載の電子機器監視装置を備えた電子機器である
    移動体。
  10. コンピュータにより実行される電子機器監視方法であって、
    電子機器が使用されていない期間において、定期的にスリープ状態からアクティブ状態に移行して、所定の待機処理を実行するステップと、
    記憶部に保存されて改ざんの有無を検証する改ざん検証処理の対象となる特定データを、細分化した複数のサブデータについて、予め設定された順序で、前記アクティブ状態に移行する毎に、少なくとも一つの前記サブデータについて前記改ざん検証処理を行う、サブデータ検証処理を実行するステップと、を含み、
    前記特定データは、前記電子機器の使用開始時に実行されるアプリケーションのデータであって、前記アプリケーションは第1アプリケーションと第2アプリケーションとを含み、前記第1アプリケーションについては、前記第1アプリケーションの実行と前記第1アプリケーションのデータについての前記改ざん検証処理を並行して行うことが可能であり、前記第2アプリケーションについては、前記第2アプリケーションのデータについての前記改ざん検証処理を完了した後に、前記第2アプリケーションの実行が可能となる設定とされ、
    前記改ざん検証処理が完了していない前記サブデータが、前記第1アプリケーションのデータであるときには、前記第1アプリケーションのデータについての前記改ざん検証処理と前記第1アプリケーションの実行を並行して行う、ステップを含む
    電子機器監視方法。
JP2022017666A 2022-02-08 2022-02-08 電子機器監視装置、移動体、及び電子機器監視方法 Active JP7427697B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2022017666A JP7427697B2 (ja) 2022-02-08 2022-02-08 電子機器監視装置、移動体、及び電子機器監視方法
US18/155,158 US20230252155A1 (en) 2022-02-08 2023-01-17 Electronic device monitoring apparatus, moving body, and electronic device monitoring method
CN202310076569.5A CN116578963A (zh) 2022-02-08 2023-01-17 电子设备监视装置、移动体以及电子设备监视方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022017666A JP7427697B2 (ja) 2022-02-08 2022-02-08 電子機器監視装置、移動体、及び電子機器監視方法

Publications (2)

Publication Number Publication Date
JP2023115450A JP2023115450A (ja) 2023-08-21
JP7427697B2 true JP7427697B2 (ja) 2024-02-05

Family

ID=87521006

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022017666A Active JP7427697B2 (ja) 2022-02-08 2022-02-08 電子機器監視装置、移動体、及び電子機器監視方法

Country Status (3)

Country Link
US (1) US20230252155A1 (ja)
JP (1) JP7427697B2 (ja)
CN (1) CN116578963A (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014151720A (ja) 2013-02-06 2014-08-25 Toyota Motor Corp 改竄検知システム、電子制御ユニット
JP2015164382A (ja) 2014-02-28 2015-09-10 トヨタ自動車株式会社 車両用電力管理装置
JP2019020872A (ja) 2017-07-13 2019-02-07 株式会社デンソー 電子制御装置、プログラム改ざん検知方法
JP2019185575A (ja) 2018-04-16 2019-10-24 三菱電機株式会社 制御装置および制御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014151720A (ja) 2013-02-06 2014-08-25 Toyota Motor Corp 改竄検知システム、電子制御ユニット
JP2015164382A (ja) 2014-02-28 2015-09-10 トヨタ自動車株式会社 車両用電力管理装置
JP2019020872A (ja) 2017-07-13 2019-02-07 株式会社デンソー 電子制御装置、プログラム改ざん検知方法
JP2019185575A (ja) 2018-04-16 2019-10-24 三菱電機株式会社 制御装置および制御方法

Also Published As

Publication number Publication date
CN116578963A (zh) 2023-08-11
JP2023115450A (ja) 2023-08-21
US20230252155A1 (en) 2023-08-10

Similar Documents

Publication Publication Date Title
US20170289333A1 (en) Device Locator Disable Authentication
JP5784753B2 (ja) 常時稼働組み込み式盗難反応サブシステム
US20220001835A1 (en) Detecting abnormal can bus wake-up pattern
WO2013161202A1 (ja) 車載制御システムおよび車載制御装置
WO2010101013A1 (ja) 異常検知および車両追跡装置
JP6011379B2 (ja) 改竄検知システム、電子制御ユニット
JP2017167916A (ja) 情報処理システム
CN110958284A (zh) 防遗忘提示方法、系统、电子终端、存储介质、及车辆
JP5419494B2 (ja) 異常検知および車両追跡装置
CN106537463A (zh) 用于提高车辆安全性的方法和装置
JP5918016B2 (ja) 遠隔操作システム
JP7427697B2 (ja) 電子機器監視装置、移動体、及び電子機器監視方法
JP4896225B2 (ja) 情報処理端末及び改ざん検証方法
JP2019185575A (ja) 制御装置および制御方法
JP2017007650A (ja) 車両の盗難防止装置
CN111443950A (zh) 车载系统安全启动方法及车载系统
CN111261827A (zh) 一种电池防盗方法及装置
JP2015199399A (ja) 盗難防止機能付き内燃機関制御装置
JPH08277665A (ja) 車両用データ処理方法および装置
JP2010000922A (ja) 盗難防止装置
CN115782816A (zh) 汽车防盗方法和系统
CN113734173B (zh) 车辆智能监控方法、设备及存储介质
US11988182B2 (en) Integrated vehicular remote starting interrupter
JP7491295B2 (ja) 車両制御装置、車両、車両制御方法、及びプログラム
JP5419495B2 (ja) 異常検知および車両追跡装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231031

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240124

R150 Certificate of patent or registration of utility model

Ref document number: 7427697

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150