JP7480689B2 - 通信制御方法及び通信装置 - Google Patents

通信制御方法及び通信装置 Download PDF

Info

Publication number
JP7480689B2
JP7480689B2 JP2020203695A JP2020203695A JP7480689B2 JP 7480689 B2 JP7480689 B2 JP 7480689B2 JP 2020203695 A JP2020203695 A JP 2020203695A JP 2020203695 A JP2020203695 A JP 2020203695A JP 7480689 B2 JP7480689 B2 JP 7480689B2
Authority
JP
Japan
Prior art keywords
vehicle
communication
ecu
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020203695A
Other languages
English (en)
Other versions
JP2022091027A (ja
Inventor
佳祐 生島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2020203695A priority Critical patent/JP7480689B2/ja
Priority to CN202180081768.4A priority patent/CN116583839A/zh
Priority to PCT/JP2021/040414 priority patent/WO2022123963A1/ja
Priority to EP21903067.3A priority patent/EP4261718A4/en
Publication of JP2022091027A publication Critical patent/JP2022091027A/ja
Priority to US18/329,180 priority patent/US20230319530A1/en
Application granted granted Critical
Publication of JP7480689B2 publication Critical patent/JP7480689B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この明細書による開示は、車載ECUの車外通信を制御する情報送信方法及び通信装置に関する。
特許文献1には、車両に搭載される電子制御装置の外部ネットワークとの車外通信を可能にする情報処理装置が開示されている。特許文献1の情報処理装置では、電子制御装置と外部ネットワークとの車外通信をプロキシ部が代わって実施するため、セキュリティが好適に確保され得る。
特開2014-165641号公報
特許文献1のような車両に搭載されるプロキシ部は、処理性能が確保され難い。故に、プロキシ部によって車外通信のセキュリティ水準が確保されても、プロキシ部がボトルネックとなり、車外通信のネットワーク性能の確保が難しくなり得た。
本開示は、ネットワーク性能とセキュリティ水準確保との両立を可能にする通信制御方法及び通信装置の提供を目的とする。
上記目的を達成するため、開示された一つの態様は、車載ECU(40)と車両(Au)の外部との間で行われる車外通信を制御する通信制御方法であって、少なくとも一つのプロセッサ(11)にて実行される処理に、車載ECUによる特定接続先(SCD)との車外通信に必要となる接続用情報を車載ECUに代わって準備し(S16~S18)、接続用情報を用いての特定接続先に限定した車外通信を車載ECUに許可する(S19)、というステップを含む通信制御方法とされる。
また開示された一つの態様は、車載ECU(40)と車両(Au)の外部との間で行われる車外通信を制御する通信装置であって、車載ECUによる特定接続先(SCD)との車外通信に必要となる接続用情報を車載ECUに代わって準備する情報準備部(21a)と、接続用情報を用いての特定接続先に限定した車外通信を車載ECUに許可する許可設定部(21b)と、を備える通信装置とされる。
これらの態様では、特定接続先への車外通信に必要な接続用情報が準備され、車載ECUに提供され得る。故に、車載ECUは、信頼性の確保が十分でない接続先との車外通信を実施しなくても、準備された接続用情報を用いることで、特定接続先との車外通信を実施できる。したがって、ネットワーク性能とセキュリティ水準確保との両立が可能になる。
尚、上記及び特許請求の範囲等における括弧内の参照番号は、後述する実施形態における具体的な構成との対応関係の一例を示すものにすぎず、技術的範囲を何ら制限するものではない。
本開示の第一実施形態による通信処理システムの全体像を示す図である。 ACPエンジンをACPクラウドに同期させる同期処理の詳細を示すシーケンス図である。 車載ECUをアプリサーバに接続させる接続処理の詳細を示すシーケンス図である。 本開示の第二実施形態による通信処理システムの全体像を示す図である。 第二実施形態による接続処理の詳細を示すシーケンス図である。 本開示の第三実施形態による通信処理システムの全体像を示す図である。 第三実施形態による接続処理の詳細を示すシーケンス図である。 本開示の第四実施形態による通信処理システムの全体像を示す図である。 第四実施形態による接続処理の詳細を示すシーケンス図である。
以下、本開示の複数の実施形態を図面に基づいて説明する。尚、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。また、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合わせることができる。そして、複数の実施形態及び変形例に記述された構成同士の明示されていない組み合わせも、以下の説明によって開示されているものとする。
(第一実施形態)
図1に示す本開示の第一実施形態による通信処理システムは、車両Auの外部の通信ネットワークと車載ECU40との間で行われる車外通信を制御することにより、車載ECU40によるセキュアな車外通信を可能にする。通信処理システムには、ACPクラウド110a及びACPエンジン10aを含んでなるオートモーティブ無線通信プラットフォーム100が採用されている。オートモーティブ無線通信プラットフォーム100は、車両Au毎の単位で、全ての車載ECU40があたかも車外のネットワークに常時接続されているような擬似的な常時接続を実現する。以下、通信処理システムを構成するクラウドシステム及び車載システム等の詳細を順に説明する。
クラウドシステムは、通信処理システムのうちで、車両Auの外部に設けられた構成群である。クラウドシステムには、アプリサーバ140、第3者サーバ160及びクラウドサーバ110が含まれている。アプリサーバ140、第3者サーバ160及びクラウドサーバ110は、それぞれ車外の通信ネットワークであるWAN(Wide Area Network)150に通信可能に接続されている。
アプリサーバ140は、車載ECU40の実質的な接続先となる。アプリサーバ140は、車載ECU40との間でアプリ通信を実施する。第一実施形態では、アプリサーバ140及び車載ECU40間のアプリ通信を、後述するプロキシ部128が中継する。アプリサーバ140は、TLS(Transport Layer Security)サーバ141を有している。TLSサーバ141は、車載ECU40(後述するTLS接続クライアント44)と連携し、TLSの構築に関連する処理を実行する。TLSの構築により、車載ECU40及びアプリサーバ140間での暗号化されたアプリ通信が可能になる。
第3者サーバ160は、例えばNTP(Network Time Protocol)サーバ160a、DNS(Domain Name System)サーバ160b及び証明書有効性管理サーバ160c等である(図2参照)。NTPサーバ160aは、現在時刻を示す時刻情報を他のノードに配信するサーバ装置である。DNSサーバ160bは、名前解決情報を他のノードに提供するサーバ装置である。DNSサーバ160bは、具体的には、ドメインネーム(例えば、Abc.com)に紐づくIPアドレス(例えば、123.23.123.123)を、名前解決情報としてドメインネームの送信元に返信する。証明書有効性管理サーバ160cは、証明書有効性情報を他のノードに提供するサーバ装置である。NTPサーバ160a、DNSサーバ160b及び証明書有効性管理サーバ160cを管理する管理者は、クラウドサーバ110を管理する管理者とは異なる管理者(第3者)である。
クラウドサーバ110は、複数のアプリサーバ140とWAN150を介して接続されている。クラウドサーバ110は、車両Auに搭載された車載通信機10との間で、移動体通信網を介した無線通信によって情報をやり取りできる。クラウドサーバ110は、移動体通信網のような携帯電話回線だけでなく、Wi-Fi(登録商標)及びV2X等の無線通信によっても、車載通信機10と通信可能である。クラウドサーバ110では、オートモーティブ無線通信プラットフォーム100のクラウド側の機能を実現するACPクラウド110aが動作する。ACPクラウド110aは、車載ECU40からアプリサーバ140へのアクセスに必要となる情報(以下、接続用情報)の少なくとも一部を入手し、入手した接続用情報を車載通信機10に提供する。
尚、WAN150を介してクラウドサーバ110と接続される車載通信機10は、複数であってよい。即ち、クラウドサーバ110は、多数の車両Auの中から一つ又は複数の車両Auを選択し、この車両Auに搭載される車載通信機10に接続用情報を提供する。こうしたクラウドサーバ110のセキュリティ等の信頼性は、アプリサーバ140及び第3者サーバ160の信頼性よりも確保される傾向にある。これは、車両Auの開発プロセスの中で車載通信機10と一体になったシステムとして車両ライフサイクルを鑑みたセキュリティ開発が実施されるためである。
クラウドサーバ110は、プロセッサ111、RAM112及び記憶媒体113等を主体として含む演算処理装置である。クラウドサーバ110は、記憶媒体113に記憶されたプログラムをプロセッサ111によって実行することで、ACPクラウド110aの機能を実現する。クラウドサーバ110は、ACPクラウド110aの機能部として、名前解決情報取得部126、証明書有効情報取得部127、名前解決情報提供部123、証明書有効情報提供部124、接続可否管理部121及びプロキシ部128を備える。
名前解決情報取得部126は、DNSサーバ160bから名前解決情報を取得する。具体的に、名前解決情報取得部126は、個々の車載ECU40に許可する特定の接続先(以下、特定接続先)SCDを示す名前解決情報を取得する。証明書有効情報取得部127は、証明書有効性管理サーバ160cから証明書有効情報を取得する。具体的に、証明書有効情報取得部127は、特定接続先SCDについての証明書有効情報を取得する。
名前解決情報提供部123は、名前解決情報取得部126によって取得された名前解決情報を、ACPエンジン10aに提供する。証明書有効情報提供部124は、証明書有効情報取得部127によって取得された証明書有効情報を、ACPエンジン10aに提供する。
接続可否管理部121には、個々の車載ECU40に紐づく特定接続先SCDを指定する指定情報が設定されている。指定情報は、クラウドサーバ110の信頼できる管理者、車両Auを提供するカーメーカー、オートモーティブ無線通信プラットフォーム100のプラットフォーマー等によって接続可否管理部121に設定される。接続可否管理部121は、指定情報に基づく特定接続先SCDについての接続用情報の取得を、名前解決情報取得部126及び証明書有効情報取得部127に実施させる。接続可否管理部121は、名前解決情報及び証明書有効情報を、名前解決情報提供部123及び証明書有効情報提供部124によってACPエンジン10aに提供し、ACPクラウド110aとACPエンジン10aとの間で接続用情報を同期させる。接続可否管理部121は、ACPクラウド110a及びACPエンジン10a間にて共有される接続用情報を管理する。
プロキシ部128は、第一実施形態において、特定接続先SCDに設定されている。車載ECU40は、アプリサーバ140の代理として、プロキシ部128との通信を実施する。プロキシ部128は、車載ECU40を認証し、認証した車載ECU40に代わり、プロキシ部128がアプリサーバ140に接続可能にする。車載ECU40は、プロキシ部128を経由してのみ、アプリサーバ140とデータ送受信ができるようになる。こうした認証処理によれば、正しい車両Au(車載ECU40)であるかを認証する処理方法のアプリサーバ開発者への開示が不要になる。
車載システムは、通信処理システムのうちで、車両Auの内部に設けられた構成群である。車載システムには、車載通信機10及び一つ又は複数の車載ECU40が含まれている。車載通信機10及び各車載ECU40は、それぞれ車内の通信ネットワークである車内LAN(Local Area Network)50通信可能に接続されている。車内LAN50は、Ethernet(登録商標)等を主体とするIPネットワークである。車載通信機10及び車載ECU40の一部は、例えばUSB等の接続形態で直接的又は間接的に車内LAN50に接続されていてもよい。
車載通信機10は、TCU(Telematics Control Unit)又はDCM(Data Communication Module)等と呼称され、車載システムと外部との無線通信を可能にする。車載通信機10は、例えば駐車中等、車両Auの主電源、具体的には、所謂イグニッションがオフ状態である場合でも、無線通信が可能な状態が継続され、ネットワークに接続されたオンラインの状態を維持する。車載通信機10では、オートモーティブ無線通信プラットフォーム100の車両側の機能を実現するACPエンジン10aが動作する。ACPエンジン10aは、エンドECU(車載ECU40)に車外通信を許可する特定接続先SCDを、プロキシ部128(又はアプリサーバ140)に限定する。
車載通信機10は、プロセッサ11、RAM12及び記憶媒体13等を有するマイクロコントローラを主体として含む制御装置である。車載通信機10は、記憶媒体13に記憶されたプログラム(通信制御プログラム)をプロセッサ11によって実行することで、ACPエンジン10aの機能を実現する。車載通信機10は、ACPエンジン10aの機能部として、接続可否管理部21、同期部36、代替サーバ部35、車内FW部28及び車外FW部29を備える。
接続可否管理部21は、各車載ECU40がどこに接続してよいかを管理する。接続可否管理部21は、ACPクラウド110aの接続可否管理部121と連携し、特定接続先SCDに関連する情報の同期を実施する。これにより、接続可否管理部21は、各車載ECU40に接続を許可される特定接続先SCDを、車外のACPクラウド110aから設定及び管理することを可能にする。接続可否管理部21は、情報準備部21a及び許可設定部21bをサブ機能部として含む。
情報準備部21aは、車載ECU40による特定接続先SCDとの車外通信に必要となる接続用情報を、車載ECU40に代わって準備する。情報準備部21aは、同期部36と連携し、車外通信によって接続用情報を取得する。情報準備部21aは、接続用情報をACPクラウド110aから取得してもよく、第3者サーバ160から直接的に取得してもよい。第一実施形態の情報準備部21aは、名前解決情報及び証明書有効情報をACPクラウド110aから入手し、時刻情報をNTPサーバ160aから入手する。情報準備部21aは、同期部36によって取得した接続用情報を、代替サーバ部35にセットする。
許可設定部21bは、情報準備部21aによって準備された接続用情報を用いての特定接続先SCDに限定した車外通信を、車載ECU40に許可する。許可設定部21bは、車外の第3者サーバ160に替えて、代替サーバ部35から接続用情報を取得するように、車載ECU40(宛先サーバ設定部41)の設定を行う。許可設定部21bは、車載ECU40に接続が許可される車外の接続先を、名前解決情報で特定する。名前解決情報は、特定接続先SCDのIPアドレスであり、車載ECU40に紐づく特定接続先SCDを指定する指定情報を兼ねる。第一実施形態の許可設定部21bは、プロキシ部128への接続のみを車載ECU40に許可する。
具体的に、許可設定部21bは、車載ECU40からACPエンジン10aへの名前解決のためのアクセスについての応答を制限する。許可設定部21bは、車載ECU40とデータ送受信を許可するアプリサーバ140又はプロキシ部128のドメイン名に対してのみ、プロキシ部128のIPアドレスとその接続に係る情報を応答しないようにする。ここでの接続に係る情報は、プロキシ部128への接続要求時にその要求パケットの盗聴を防ぐため暗号化されたパケットを、プロキシ部128が復号できるようにする公開鍵を含んでいる。許可設定部21bは、車外FW部29と連携し、車載ECU40による車外通信を、プロキシ部128宛の通信しか通さないようにする。
同期部36は、接続可否管理部21と連携し、ACPエンジン10aとACPクラウド110aとの同期、言い替えると、ACPエンジン10aと第3者サーバ160との情報共有を実施する。同期部36は、時刻取得部25、名前解決情報取得部26、証明書有効情報取得部27をサブ機能部として含む。時刻取得部25は、第3者サーバ160であるNTPサーバ160aとの同期により、時刻情報を取得する。名前解決情報取得部26は、ACPクラウド110aの名前解決情報取得部126との同期により、名前解決情報を取得する。証明書有効情報取得部27は、ACPクラウド110aの証明書有効情報取得部127との同期により、証明書有効情報を取得する。
代替サーバ部35は、第3者サーバ160に替わって車載ECU40に接続用情報を提供する。代替サーバ部35は、車載ECU40による車外へのセキュア接続に必要な手順のうち、各第3者サーバ160との信号授受を代理し、各第3者サーバ160に替わって車載ECU40からの要求に応答する。
代替サーバ部35は、時刻配信サーバ22、名前解決サーバ23及び証明書有効性管理サーバ24をサブ機能部として含む。時刻配信サーバ22は、時刻取得部25によって取得された時刻情報を保持する。時刻配信サーバ22は、車載ECU40からの要求に応じて、NTPサーバ160aに替わり時刻情報を車載ECU40に同期させる。名前解決サーバ23は、名前解決情報取得部26によって取得された名前解決情報を保持する。名前解決サーバ23は、車載ECU40からの要求に応じて、DNSサーバ160bに替わり名前解決情報を車載ECU40に同期させる。証明書有効性管理サーバ24は、証明書有効情報取得部27によって取得された証明書有効情報を保持する。証明書有効性管理サーバ24は、車載ECU40からの要求に応じて、証明書有効性管理サーバ160cに替わり証明書有効情報を車載ECU40に同期させる。
車内FW(Firewall)部28は、ACPエンジン10aにおいて、車内LAN50との接続部分に設けられている。ACPエンジン10aと車内LAN50との通信は、必ず車内FW部28を通過する。車内FW部28は、車内LAN50からACPエンジン10aへの車内通信及びACPエンジン10aから車内LAN50への車内通信について、所定の基準に基づき不正と判断した通信を遮断する。
車外FW部29は、ACPエンジン10aにおいて、WAN150との接続部分に設けられている。ACPエンジン10aとWAN150との通信は、必ず車外FW部29を通過する。車外FW部29は、車載システム及びWAN150間の車外通信のうちで、所定の基準に基づき不正と判断した通信を遮断する。車外FW部29は、車載ECU40からWAN150への車外通信を制限できる。具体的に、車外FW部29は、車載ECU40が車外通信できる接続先を、特定接続先SCDのみに制限する。一例として、車外FW部29は、許可設定部21bより取得する名前解決情報のIPアドレスを用いて、最低限の制限ルールにより、アクセス可能な接続先をプロキシ部128(又はアプリサーバ140)に限定する。
尚、車載システムを構成する複数の車載ECU40のうちの一部は、車外通信の制御するACPエンジン10aの仕組みを使わなくてもよい。車載ECU40毎にIPアドレスが異なるため、ACPエンジン10aは、車外通信を制御する仕組みを適用する車載ECU40と、適用しない車載ECU40とを識別ができる。さらに、アプリをポート番号で一意に識別できるシステム構成の場合、ACPエンジン10aは、同じIPアドレスの車載ECU40上でも、適用するアプリと適用しないアプリとを識別することができる。そのため、ACPエンジン10aは、適用する車載ECU40と適用しない車載ECU40とを、車載システムに共存させることができる。
車載ECU40は、車両Auに搭載される制御装置であり、マイクロコントローラを主体として含む。車載ECU40は、車載システムにおけるエンドECUに相当する。車載ECU40は、ボディ系のECU、車両制御系のECU、ADAS系又は自動運転系のECU、HMI系のECUのいずれであってもよい。車載ECU40は、一つ又は複数のアプリケーション40aを実行可能である。アプリケーション40aは、アプリサーバ140との間でのアプリ通信の実施により、車両Auのユーザに種々のサービスを提供する。車載ECU40は、車載通信機10とは異なり、車両Auの電源がオフ状態である場合には、消費電力抑制のため原則的にオフ状態とされる。
尚、複数の車載ECU40のうちの一部には、アプリケーション40aが実装されなくてもよい。また、車載通信機10は、車載ECU40を兼ねる構成として車載システムに設けられ、アプリケーション40aを実行可能であってもよい。
車載ECU40は、ACPエンジン10aとアプリケーション40aとの間にてデータの中継処理を行う機能部として、宛先サーバ設定部41、鍵管理デバイス42及びTLS接続クライアント44を備える。宛先サーバ設定部41は、時刻情報、名前解決情報及び証明書有効情報の同期先を、ACPエンジン10aのIPアドレスに設定する。鍵管理デバイス42は、ハード的に他の回路部から独立した構成として車載ECU40設けられている。鍵管理デバイス42は、単独のICとして設けられていてもよく、一つのICの中で他の回路部からハード的に分離されていてもよい。宛先サーバ設定部41は、鍵自体へのアクセス及び鍵を用いた演算等、特定の手段でしか実施できないように独立し管理できる。鍵管理デバイス42は、特定接続先SCDの認証に用いる鍵情報を管理する。TLS接続クライアント44は、鍵管理デバイス42にて管理された鍵情報を用いて、特定接続先SCDであるプロキシ部128が正規のアクセス先であるか否かを認証する。特定接続先SCDの認証(サーバ認証)とサーバ側による車載ECU40の認証(クライアント認証)とが完了すると、車載ECU40及びプロキシ部128間のセキュア接続が構築される。
次に、本開示の通信制御方法を実現するために通信処理システムにて実施される各処理の詳細を、図2及び図3に基づき、図1を参照しつつ、以下説明する。
図2に示す同期処理では、ACPクラウド110aとACPエンジン10aとの同期が実施される。同期処理によれば、ACPエンジン10aに接続用情報が準備された状態となる。
同期処理のS11では、時刻取得部25とNTPサーバ160aとの間で、時刻情報の同期が実施される。S12では、ACPクラウド110aが、ACPクラウド110aの接続可否管理部121に、各車両Auの各車載ECU40について、接続を許可する特定接続先SCDを設定する。S12において、ACPクラウド110aは、多数の車載ECU40のそれぞれに指定情報を紐づけ、車載ECU40毎の特定接続先SCDを指定する。
S13では、接続可否管理部121が、接続用情報を取得する。S14では、DNSサーバ160bと名前解決情報取得部126との間で、名前解決情報が共有される。S15では、証明書有効性管理サーバ160cと証明書有効情報取得部127との間で、証明書有効情報が共有される。尚、第3者サーバ160からの取得に替えて、ACPクラウド110aの管理者が、ACPクラウド110aに各接続用情報を提供してもよい。
S16では、ACPクラウド110aからACPエンジン10aへの接続用情報の提供が実施される。S16では、予め設定されたACPクラウド110aとの車外通信により、ACPエンジン10aは、ACPクラウド110aによって管理された接続用情報を取得する。S17では、ACPエンジン10aの接続可否管理部21が、接続用情報を入手する。S16及びS17によれば、名前解決情報提供部123及び証明書有効情報提供部124と、名前解決情報取得部26及び証明書有効情報取得部27との間で、名前解決情報及び証明書有効情報が同期される。名前解決情報は、車載ECU40に紐づく指定情報を兼ねており、車載ECU40に車外通信を許可する特定接続先SCDのIPアドレスである。
S18では、S11及びS16での車外通信によって取得された接続用情報が、代替サーバ部35に設定される。代替サーバ部35は、上述したように、車内LAN50を介した車内通信により、車載ECU40が車外接続を行うことなく、車載ECU40に接続用情報を提供できる。その結果、車載ECU40による特定接続先SCDとの車外通信に必要となる接続用情報が、車載ECU40に代わって接続可否管理部21により準備される。
S19では、接続可否管理部21が、接続用情報を用いての特定接続先SCDに限定した車外通信を車載ECU40に許可する。第一実施形態では、車載ECU40からアプリサーバ140への車外通信を中継するプロキシ部128が、車載ECU40の特定接続先SCDとして設定される。S19では、指定情報の示すIPアドレスへの車外通信が許可されるよう、車外FW部29のフィルタリング設定が変更される。
図3に示す接続処理では、車載ECU40とプロキシ部128との間に暗号通信経路が構築される。暗号通信経路を流れるアプリ通信の内容は、相互認証された車載ECU40及びプロキシ部128しか把握できない。即ち、ACPエンジン10aは、アプリ通信の内容を把握できない。
S31では、車載ECU40における初期処理として、宛先サーバ設定部41が、接続用情報を取得するアクセス先をACPエンジン10aの代替サーバ部35に設定する。
S32では、時刻情報の有無を把握し、時刻情報がない場合には、ACPエンジン10aの時刻配信サーバ22への車内通信によって時刻情報を取得する。S33では、ACPエンジン10aの名前解決サーバ23への車内通信によって名前解決情報を取得する。同期処理によってACPエンジン10aには予め各情報が準備されているため、S32及びS33では、第3者サーバ160への車外通信が実施されなくてもよい(破線の矢印参照)。
S34では、プロキシ部128への接続要求、いわゆるTLSネゴシエーションを実施する。S35では、ACPエンジン10aの証明書有効性管理サーバ24に対し、証明書有効情報の失効確認を実施する。S35でも、第3者サーバ160への車外通信が省略されてよい(破線の矢印参照)。S36では、鍵管理デバイス42に管理された鍵情報を用いて、特定接続先SCDであるプロキシ部128と車載ECU40との相互認証、即ち、サーバ認証及びクライアント認証処理が実施される。S37では、認証情報及び鍵交換が実施される。これにより、車載ECU40及びプロキシ部128間におけるTLS構築が完了する。このとき、プロキシ部128及びアプリサーバ140間では、TLS構築を行う一連の接続シーケンスが完了される。その結果、S38及びS39では、車載ECU40及びプロキシ部128並びにプロキシ部128及びアプリサーバ140の暗号経路上で、車載ECU40上のアプリケーション40aと対応するアプリサーバ140との間のデータ送受信が開始される。
ここまで説明した第一実施形態では、信頼性の確保が十分な特定接続先SCDへの車外通信に必要な接続用情報が予めACPエンジン10aに準備され、ACPエンジン10aから車載ECU40に提供され得る。故に、車載ECU40は、信頼性の確保が十分でない接続先、具体的には、第3者サーバ160や第3者が開発及び提供するアプリサーバ140との車外通信を実施しなくてもよくなる。即ち、車載ECU40は、ACPエンジン10aに準備された接続用情報を用いることで、特定接続先SCDとの車外通信を実施できる。したがって、ネットワーク性能とセキュリティ水準確保との両立が可能になる。
より詳しく説明すると、プロキシ機能を持ったECU(以下、プロキシECU)によって車載ECUによる車外通信を全て代替する比較例では、特にプロキシECUでプロキシ中継処理を行う車載用プロセッサの処理能力が低くなる。これにより、スループットの制限及び通信遅延が生じ易い。仮に、信頼できるクラウド上のプロキシサーバとの車外通信のみ、車載ECUが直接実施できるように比較例を改良しようとしても、信頼できるクラウド上のプロキシサーバとのセキュア接続には、信頼性が不十分な第3者サーバ160への接続が必要となる。一方、上記の第一実施形態では、信頼性が不十分な第3者サーバ160との車外通信を、ACPエンジン10aが車載ECU40に代わって実施し、セキュア接続に必要な接続用情報を車載ECU40に応答できる。その結果、信頼性が不十分な接続を排除しつつ車内へのプロキシECUの配置を不要とすることができ、ネットワーク性能とセキュリティ水準確保とが両立され得る。
加えて第一実施形態の車載通信機10は、車外通信によって取得した接続用情報を代替サーバ部35に設定する。そして、代替サーバ部35から車載ECU40に車内通信によって接続用情報を提供する。このように、代替サーバ部35に接続用情報が準備されていれば、車載通信機10と第3者サーバ160との車外通信の省略が可能になる(図3 破線矢印参照)。故に、車載ECU40による車外通信の速やかな開始と、第3者サーバ160のなりすましによる車載ECU40への攻撃リスクの抑制とが可能になる。
また第一実施形態のACPエンジン10aは、予め設定されたACPクラウド110aとの車外通信により、接続可否管理部121によって信頼性が管理された接続用情報を取得する。以上によれば、リスクのいっそうの低減が実現される。
さらに第一実施形態のACPエンジン10aは、車載ECU40に紐づく特定接続先SCDを指定する指定情報として、ACPクラウド110aから名前解決情報を取得する。接続可否管理部21は、名前解決情報の示す特定接続先SCDへの車外通信が許可されるように、車外FW部29の設定を変更する。以上によれば、車載ECU40に許可する接続先が、ACPクラウド110a側から管理可能になる。
加えて第一実施形態では、車外通信を中継するプロキシ部128が特定接続先SCDとして設定される。故に、車載ECU40の接続先が、厳格に管理されたACPクラウド110aに限定される。以上によれば、アプリサーバ140に起因するセキュリティリスクのいっそうの低減が可能になる。尚、第一実施形態では、ACPクラウド110aが「接続管理部」に相当し、車載通信機10が「通信装置」に相当する。
(第二実施形態)
図4及び図5に示す本開示の第二実施形態は、第一実施形態の変形例である。第二実施形態の通信処理システムでは、プロキシ部128がACPクラウド110aから省略されている。加えて第二実施形態では、車載ECU40による認証処理が、ACPエンジン10aによって代行される。以下、第二実施形態におけるACPエンジン10a及び車載ECU40の詳細と、同期処理及び接続処理(図5参照)の詳細とを、順に説明する。
ACPエンジン10aは、暗号通信部31、鍵管理デバイス32及び認証処理部33を有する。暗号通信部31は、車内LAN50を通じた車内通信を暗号化する。暗号通信部31は、車載ECU40の暗号通信部45との間で、ECU間の暗号通信を可能にする。
鍵管理デバイス32は、第一実施形態の鍵管理デバイス42(図1参照)と実質同一の構成である。鍵管理デバイス32は、特定接続先SCDの認証に用いる鍵情報を保管している。鍵管理デバイス32は、ハード的に他の回路部から独立した構成(Hardware Security Module,HSM)として車載通信機10に設けられている。鍵管理デバイス32は、外部から乱数を与え、内部に持っている秘密の鍵情報と演算した結果を外部に返す処理により、鍵情報をデバイス外部に出すことなく、署名検証及び署名付与による認証処理が実施できる。
認証処理部33は、車載ECU40からの認証移譲に基づき、車載ECU40の通信先となるアプリサーバ140を認証する。認証処理部33は、車載通信機10に実装された既存の演算リソースを利用して、アプリサーバ140の認証処理を実施できる。尚、図4では、情報準備部21a(図1参照)及び許可設定部21b(図1参照)の図示が省略されている。
車載ECU40は、鍵管理デバイス42(図1参照)に替えて、暗号通信部45を有している。鍵管理デバイス42の省略により、車載ECU40の構成が簡素化されている。暗号通信部45は、ACPエンジン10aの暗号通信部31と連携して、ACPエンジン10a及び車載ECU40間の暗号化された通信を可能にする。暗号通信部45は、認証処理部33にて実施された演算結果に基づく認証情報を、暗号化された車内通信によって車載ECU40から取得する。
ここで、第二実施形態では、認証処理が車載ECU40から車載通信機10に移譲されているため、悪意ある者に認証情報を盗まれてしまうと、正規のクライアントに偽装した不正な通信が可能になってしまう。こうした盗聴対策として、車載ECU40及びACPエンジン10a間の通信の暗号化が必要となる。一例として、各暗号通信部31,45は、車両Auのドアのアンロック等と同等の暗号通信を行い、認証情報を守る。
第二実施形態の同期処理(図2参照)は、全体として第一実施形態と実質的に同一である。第二実施形態では、車載ECU40の特定接続先SCDがアプリサーバ140であるため、ACPエンジン10aは、接続用情報の準備処理(図2 S16~S18参照)にて、アプリサーバ140のIPアドレスを名前解決情報として取得する。さらに、車外FW部29のフィルタリング設定は、名前解決情報に基づき、車載ECU40からアプリサーバ140への接続を通過させる設定に変更される(図2 S19参照)。
第二実施形態の接続処理において、S31~S35の処理は、第一実施形態と実質同一である。但し、S34では、車載ECU40とアプリサーバ140との間でTLSネゴシエーションが実施される。第二実施形態でも、接続用情報は、ACPエンジン10aの代替サーバ部35から車載ECU40に提供される。これにより、ACPエンジン10aから第3者サーバ160への車外アクセスが省略される。
S236では、車載ECU40からACPエンジン10aへの認証処理の移譲及び要求が行われる。認証処理の移譲及び要求に関連する通信は、各暗号通信部31,45によって暗号化される。
S237では、鍵管理デバイス32によって管理された鍵情報を用いた認証処理が、10aの認証処理部33によって実施される。S237では、サーバ認証処理及びクライアント認証処理の署名のための処理が実施される。
S238では、S237による認証情報を、ACPエンジン10aが認証処理の要求元である車載ECU40に提供する。S238での認証情報の送信は、各暗号通信部31,45によって暗号化される。
S239では、ACPエンジン10aから受け取った認証情報が、車載ECU40からアプリサーバ140に渡される。さらに、公開鍵の交換が実施される。これにより、アプリサーバ140での認証が完了し、車載ECU40及びアプリサーバ140間でのTLSが構築される。その結果、S240にて、暗号化されたアプリ通信が開始される。
ここまで説明した第二実施形態では、ACPエンジン10aによって準備され接続用情報が車載ECU40に提供されるため、車載ECU40から第3者サーバ160への車外通信及び車内へのプロキシECUの配置が省略され得る。故に、第一実施形態と同様の効果を奏し、ネットワーク性能とセキュリティ水準確保との両立が可能になる。
加えて第二実施形態では、鍵管理デバイス32にて管理された鍵情報を用いて特定接続先SCDが認証され、当該認証結果に基づく認証情報が車載ECU40に提供される。このように、車載ECU40からACPエンジン10aへの認証移譲が実施されれば、各車載ECU40の鍵管理デバイス42(図1参照)が不要になる。鍵管理デバイス32,42となるHSMは、鍵情報を管理運用する基盤が必要であり、登録及び廃棄等の運用が大変であるために、高コストとなる。故に、車載システムに必要となるセキュリティコストの総額が、鍵管理デバイス32の集約によって低減される。さらに、車載ECU40の演算処理能力が低く、例えば非対称鍵暗号やビット長の長い暗号のような高負荷な演算を伴う認証処理を、ACPエンジン10aに移譲することによって、ACPエンジン10a同等のセキュア接続水準確保が実現される。尚、第二実施形態では、鍵管理デバイス32が「鍵管理部」に相当する。
(第三実施形態)
図6及び図7に示す本開示の第三実施形態は、第一実施形態の別の変形例である。第三実施形態では、第二実施形態と同様に、車載ECU40の特定接続先SCDがアプリサーバ140に設定されている。これにより、接続処理のS34では、車載ECU40とアプリサーバ140との間でTLSネゴシエーションが実施される。さらに、S36では、車載ECU40及びアプリサーバ140間での相互認証が実施される。そして、S37では、認証情報及び鍵情報が車載ECU40及びアプリサーバ140間で交換される。これにより、アプリサーバ140での認証が完了し、車載ECU40及びアプリサーバ140間でのTLSが構築されることで、S38にて、暗号化されたアプリ通信が開始される。
ここまで説明した第三実施形態でも、ACPエンジン10aによって準備された接続用情報が車載ECU40に提供されるため、車載ECU40から第3者サーバ160への車外通信が省略され得る。故に、第一実施形態と同様の効果を奏し、ネットワーク性能とセキュリティ水準確保との両立が可能になる。
(第四実施形態)
図8及び図9に示す本開示の第四実施形態は、第二実施形態の変形例である。第四実施形態のACPクラウド110aは、認証処理部129を有する。認証処理部129は、アプリサーバ140にアクセスする車載ECU40を、アプリサーバ140に代わって認証する。以下、第四実施形態の接続処理の詳細を説明する。尚、第四実施形態の同期処理のS31~S35及びS236~S238の処理は、第一及び第二実施形態と実質同一である。
接続処理のS439では、車載ECU40がアプリサーバ140との通信を実施する。S439にて、車載ECU40及びアプリサーバ140は、認証情報及び鍵情報を交換する。
S440では、アプリサーバ140から認証処理部129に認証処理の代行が依頼される。具体的に、S440では、アプリサーバ140から認証処理部129への認証処理の移譲及び要求が行われる。認証処理部129は、アプリサーバ140からの要求に基づき、アプリサーバ140に送信された認証情報を用いて、車載ECU40の認証処理を実施する。認証処理部129は、認証情報を要求元であるアプリサーバ140に提供する。S441では、S440にて取得する認証情報に基づき、アプリサーバ140及び車載ECU40間のTLSが構築される。これにより、暗号化されたアプリ通信が開始される。
ここまで説明した第四実施形態でも、ACPエンジン10aによって準備された接続用情報が車載ECU40に提供されるため、車載ECU40から第3者サーバ160への車外通信が省略され得る。故に、第二実施形態と同様の効果を奏し、ネットワーク性能とセキュリティ水準確保との両立が可能になる。
加えて第四実施形態では、認証処理部129がアプリサーバ140に代わって車載ECU40を認証する。故に、正しい車載ECU40であるかを認証する認証情報及び仕様情報を、多数のアプリサーバ140に渡す必要が無くなる。その結果、車載ECU40からアプリサーバ140へのアクセスのセキュリティ水準確保が確保され易くなる。
(他の実施形態)
以上、本開示の複数の実施形態について説明したが、本開示は、上記実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。
上記第一実施形態による通信制御システムは、特定接続先SCDをプロキシ部128に設定することにより、通信のボトルネックが解消され得る。故に、例えば制御系の車載ECU40等、セキュリティリスクが相対的に高い特定の車載ECU40のみのが、プロキシ部128に接続される対象とされてよい。こうした第一実施形態は、極低遅延の保証を不要とするユースケースを想定した形態である。
上記第二実施形態では、認証処理のACPエンジン10aへの集約により、セキュリティ対策コストの総額が低減でき、低性能プロセッサを主体とする車載ECU40でもセキュリティ水準が確保される。故に、セキュリティリスクが相対的に高い車載ECU40や、低性能プロセッサを主体とする車載ECU40に車外通信を実施させるユースケースに、第二実施形態は好適となる。
上記第三実施形態は、上記比較例の構成からの変更が少なくできる。そのため、セキュリティリスクが相対的に高い車載ECU40に車外通信を実施させるユースケースに、第三実施形態は好適となる。
上記第四実施形態では、車両Auを認証する仕組み及び機能をサーバ開発事業者等、及び多数のサーバに提供することが不要になる。また第四実施形態は、遠隔制御のような極低遅延の保証が必要なユースケースに好適となる。一例として、いわゆるモバイルエッジコンピューティングと呼ばれるセルラのコアネットワーク内に、TLS終端サーバ(アプリサーバに相当)を配置し、低遅延接続を実現することが可能になる。こうしたシステム構成では、インターネットに出ないため、低遅延化が達成され得る。一方、コアネットワークを構成するエリア単位でサーバ設置が必要となり、且つ、コアネットワーク事業者(インフラ事業者)の管轄になり、他ユーザと共有されることも想定されるため、車両Auのセキュリティ管理が難しくなる。こうしたネットワークにも、本開示の通信制御システムは、好適となる。
上記実施形態の変形例1では、ACPクラウド110aからACPエンジン10aへ渡す接続用情報に、有効期限が設定される。ACPクラウド110aは、有効期限内に接続用情報の照会がない場合、ACPエンジン10aに提供した接続用情報を無効にする。例えば、レンタカーの返却日時を想定して、有効期限が設定される。以上の機能をもった端末と接続されるクラウドサーバ110が、車両Au、車載ECU40及びアプリケーション40a毎に許可する接続用情報を個別に管理及び更新する。
上記実施形態の変形例2では、ACPエンジン10aから車載ECU40への接続用情報の提供にあたり、ACPエンジン10aも第3者サーバ160へのアクセスをしない構成とされる。ACPエンジン10aは、車載ECU40への接続用情報を、全てACPクラウド110aから取得する。
上記実施形態では、第3者サーバ160へ問合せするDNSのパケットに、車載ECU40の接続先のドメイン名が平文で含まれている。故に、車両Auからの車外通信が傍受された場合も、この車両Auのアクセスするドメイン名が特定されるリスクがある。そこで、上記実施形態の変形例3では、ACPエンジン10a及びACPクラウド110a間の暗号通信経路上で、上記のやりとりが実施される。これにより、車載ECU40の接続先を車外から傍受することが困難となる。こうした機能をもつ端末と接続されるクラウドサーバ110が第3者サーバ160にアクセスする。その結果、セキュリティ対策含む時代進化に伴い、第3者サーバ160の仕様変更、並びに認証方式変更及び追加等に、車載ECU40の変更又は更新を実施しなくても、即座に追従することができるシステムが提供される。
上記実施形態の変形例4では、代替サーバ部35がACPエンジン10aから省略されている。変形例1のACPエンジン10aは、車載ECU40からの要求に基づき、第3者サーバ160又はACPクラウド110aから接続用情報を逐次取得する。
上記実施形態の変形例5では、ACPエンジン10aが、第3者サーバ160から接続用情報を取得し、代替サーバ部35に設定する。即ち、ACPクラウド110aでは、接続可否管理部121による接続用情報の提供機能が省略されている。こうした変形例5では、各車載ECU40に特定接続先SCDを指定する接続可否管理部121も省略される。
上記実施形態の鍵管理デバイスは、上述したように、IC自体が他のハードから分離している形態、同一のIC内で他のハード部分から分離されている形態等であってよい。さらに、鍵管理デバイスは、権限管理及び署名等のソフトウェア的に分離されている形態であってもよい。
上記実施形態にて、車載通信機10及びクラウドサーバ110によって提供されていた各機能は、ソフトウェア及びそれを実行するハードウェア、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの複合的な組合せによっても提供可能である。さらに、こうした機能がハードウェアとしての電子回路によって提供される場合、各機能は、多数の論理回路を含むデジタル回路、又はアナログ回路によっても提供可能である。
上記実施形態にて、各プロセッサ11,111は、それぞれRAM12,112と結合された演算処理のためのハードウェアであり、本開示による情報送信方法を実現するコンピュータの主体構成である。各プロセッサ11,111は、CPU(Central Processing Unit)等の演算コアを少なくとも一つ含む構成である。プロセッサ11,111を含む処理回路は、FPGA(Field-Programmable Gate Array)及びASIC(Application-Specific Integrated Circuit)を主体とした構成であってもよい。
記憶媒体13,113は、不揮発性の記憶媒体を含む構成である。各記憶媒体13,113には、各プロセッサ11,111によって実行され、上記の通信制御方法を実現するたえの種々のプログラム(通信制御プログラム)が格納されている。こうした記憶媒体13,113の形態は、適宜変更されてよい。例えば記憶媒体13,113は、回路基板上に設けられた構成に限定されず、メモリカード等の形態で提供され、スロット部に挿入されて、車載通信機10及びクラウドサーバ110の処理回路に電気的に接続される構成であってよい。さらに、記憶媒体13,113は、プログラムのコピー基となる光学ディスク及びのハードディスクドライブ等であってもよい。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の装置及びその手法は、専用ハードウェア論理回路により、実現されてもよい。もしくは、本開示に記載の装置及びその手法は、コンピュータプログラムを実行するプロセッサと一つ以上のハードウェア論理回路との組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
Au 車両、SCD 特定接続先、10 車載通信機(通信装置)、11,111 プロセッサ、21a 情報準備部、21b 許可設定部、32 鍵管理デバイス(鍵管理部)、35 代替サーバ部、40 車載ECU、110a ACPクラウド(接続管理部)、128 プロキシ部、129 認証処理部、

Claims (8)

  1. 車載ECU(40)と車両(Au)の外部との間で行われる車外通信を制御する通信制御方法であって、
    少なくとも一つのプロセッサ(11)にて実行される処理に、
    前記車載ECUによる特定接続先(SCD)との前記車外通信に必要となる接続用情報を前記車載ECUに代わって準備し(S16~S18)、
    前記接続用情報を用いての前記特定接続先に限定した前記車外通信を前記車載ECUに許可する(S19)、
    というステップを含む通信制御方法。
  2. 前記接続用情報を準備するステップでは、車内通信によって前記車載ECUに前記接続用情報を提供する代替サーバ部(35)に、前記車外通信によって取得した前記接続用情報を設定する請求項1に記載の通信制御方法。
  3. 前記接続用情報を準備するステップでは、予め設定された接続管理部(110a)との前記車外通信により、前記接続管理部によって管理された前記接続用情報を取得する請求項1又は2に記載の通信制御方法。
  4. 前記車載ECUに紐づく前記特定接続先を指定する指定情報を前記接続管理部から取得する(S17)、というステップをさらに含み、
    前記車外通信を許可するステップでは、前記指定情報の示す前記特定接続先への前記車外通信を、前記車載ECUに許可する請求項3に記載の通信制御方法。
  5. 鍵管理部(32)にて管理された鍵情報を用いて前記特定接続先を認証し(S237)、
    前記特定接続先の認証結果に基づく認証情報を、前記車載ECUに提供する(S238)、
    というステップをさらに含む請求項1~4のいずれか一項に記載の通信制御方法。
  6. 前記車外通信を許可するステップでは、前記車外通信を中継するプロキシ部(128)を前記特定接続先として設定する請求項1~5のいずれか一項に記載の通信制御方法。
  7. 前記特定接続先にアクセスする前記車載ECUを、認証処理部(129)が前記特定接続先に代わって認証する(S440)、というステップをさらに含む請求項1~5のいずれか一項に記載の通信制御方法。
  8. 車載ECU(40)と車両(Au)の外部との間で行われる車外通信を制御する通信装置であって、
    前記車載ECUによる特定接続先(SCD)との前記車外通信に必要となる接続用情報を前記車載ECUに代わって準備する情報準備部(21a)と、
    前記接続用情報を用いての前記特定接続先に限定した前記車外通信を前記車載ECUに許可する許可設定部(21b)と、
    を備える通信装置。
JP2020203695A 2020-12-08 2020-12-08 通信制御方法及び通信装置 Active JP7480689B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2020203695A JP7480689B2 (ja) 2020-12-08 2020-12-08 通信制御方法及び通信装置
CN202180081768.4A CN116583839A (zh) 2020-12-08 2021-11-02 通信控制方法以及通信装置
PCT/JP2021/040414 WO2022123963A1 (ja) 2020-12-08 2021-11-02 通信制御方法及び通信装置
EP21903067.3A EP4261718A4 (en) 2020-12-08 2021-11-02 COMMUNICATION CONTROL METHOD AND COMMUNICATION DEVICE
US18/329,180 US20230319530A1 (en) 2020-12-08 2023-06-05 Communication control method and communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020203695A JP7480689B2 (ja) 2020-12-08 2020-12-08 通信制御方法及び通信装置

Publications (2)

Publication Number Publication Date
JP2022091027A JP2022091027A (ja) 2022-06-20
JP7480689B2 true JP7480689B2 (ja) 2024-05-10

Family

ID=81973637

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020203695A Active JP7480689B2 (ja) 2020-12-08 2020-12-08 通信制御方法及び通信装置

Country Status (5)

Country Link
US (1) US20230319530A1 (ja)
EP (1) EP4261718A4 (ja)
JP (1) JP7480689B2 (ja)
CN (1) CN116583839A (ja)
WO (1) WO2022123963A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004310581A (ja) 2003-04-09 2004-11-04 Nec Corp ネットワーク接続方法およびネットワークシステム
JP2012064007A (ja) 2010-09-16 2012-03-29 Daiwa Institute Of Research Business Innovation Ltd 情報処理装置、通信中継方法およびプログラム
JP2014165641A (ja) 2013-02-25 2014-09-08 Toyota Motor Corp 情報処理装置及び情報処理方法
WO2014141518A1 (ja) 2013-03-11 2014-09-18 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140309839A1 (en) * 2013-04-15 2014-10-16 Flextronics Ap, Llc Vehicle Registration to Enter Automated Control of Vehicular Traffic
US10951728B2 (en) * 2019-02-11 2021-03-16 Blackberry Limited Proxy for access of a vehicle component

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004310581A (ja) 2003-04-09 2004-11-04 Nec Corp ネットワーク接続方法およびネットワークシステム
JP2012064007A (ja) 2010-09-16 2012-03-29 Daiwa Institute Of Research Business Innovation Ltd 情報処理装置、通信中継方法およびプログラム
JP2014165641A (ja) 2013-02-25 2014-09-08 Toyota Motor Corp 情報処理装置及び情報処理方法
WO2014141518A1 (ja) 2013-03-11 2014-09-18 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム

Also Published As

Publication number Publication date
WO2022123963A1 (ja) 2022-06-16
CN116583839A (zh) 2023-08-11
EP4261718A1 (en) 2023-10-18
JP2022091027A (ja) 2022-06-20
EP4261718A4 (en) 2024-05-22
US20230319530A1 (en) 2023-10-05

Similar Documents

Publication Publication Date Title
CN106576096B (zh) 用于对具有不等能力的设备的认证的装置、方法及介质
EP3843329B1 (en) Device authentication based upon tunnel client network requests
CN106664311B (zh) 支持异构电子设备之间差异化的安全通信
CN110324335B (zh) 一种基于电子移动证书的汽车软件升级方法及系统
US10735206B2 (en) Securing information exchanged between internal and external entities of connected vehicles
EP3850510B1 (en) Infrastructure device enrolment
US20130173112A1 (en) In-vehicle system and communication method
CN112671798A (zh) 一种车联网中的服务请求方法、装置和系统
JPWO2018070242A1 (ja) 車載ゲートウェイ、鍵管理装置
US20190159026A1 (en) Hybrid authentication of vehicle devices and/or mobile user devices
CN113016201B (zh) 密钥供应方法以及相关产品
WO2022160124A1 (zh) 一种服务授权管理方法及装置
US10516653B2 (en) Public key pinning for private networks
CN110891257A (zh) 一种具有防攻击双向认证的网联车远程升级系统及方法
JP6192673B2 (ja) 鍵管理システム、鍵管理方法およびコンピュータプログラム
CN113785549B (zh) 使用some/ip通信协议改进车载数据或消息的传输
US20240223363A1 (en) Method and system for sharing sensor insights based on application requests
EP2936761B1 (en) Technique for enabling a client to provide a server entity
TWI469655B (zh) 電子存取用戶端之大規模散佈之方法及裝置
US20240195790A1 (en) Centralized management of private networks
JP7143744B2 (ja) 機器統合システム及び更新管理システム
JP7480689B2 (ja) 通信制御方法及び通信装置
US11171786B1 (en) Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities
KR102049262B1 (ko) 보안기능을 가진 확장 텔레매틱스 시스템
CN110324290B (zh) 网络设备认证的方法、网元设备、介质及计算机设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240326

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240408

R150 Certificate of patent or registration of utility model

Ref document number: 7480689

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150