JP7491362B2 - セキュリティシステム、車両、セキュリティ装置および正当性判断方法 - Google Patents

セキュリティシステム、車両、セキュリティ装置および正当性判断方法 Download PDF

Info

Publication number
JP7491362B2
JP7491362B2 JP2022501620A JP2022501620A JP7491362B2 JP 7491362 B2 JP7491362 B2 JP 7491362B2 JP 2022501620 A JP2022501620 A JP 2022501620A JP 2022501620 A JP2022501620 A JP 2022501620A JP 7491362 B2 JP7491362 B2 JP 7491362B2
Authority
JP
Japan
Prior art keywords
security
security device
identification information
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022501620A
Other languages
English (en)
Other versions
JPWO2021166321A5 (ja
JPWO2021166321A1 (ja
Inventor
孝典 三好
勇夫 加藤
聡 櫻澤
洋一 畑
巧 朝夷名
芳一 礒山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Publication of JPWO2021166321A1 publication Critical patent/JPWO2021166321A1/ja
Publication of JPWO2021166321A5 publication Critical patent/JPWO2021166321A5/ja
Application granted granted Critical
Publication of JP7491362B2 publication Critical patent/JP7491362B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • B60R25/04Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/81Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Description

本開示は、セキュリティシステム、車両、セキュリティ装置および正当性判断方法に関する。
この出願は、2020年2月18日に出願された日本出願特願2020-25009号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
特許文献1(特開2003-191804号公報)には、以下のような車両用通信システムが開示されている。すなわち、車両用通信システムは、車両に搭載された複数の電気的装置に、車両に配線された通信線を介してデータ通信を行う通信手段を設けて、各電気的装置間でデータを送受信できるようにした車両用通信システムであって、前記各電気的装置に、夫々、異なる通信線を使って同一データを通信するための複数の通信手段と、該複数の通信手段を用いた通信によって得られる複数の受信データの中から正常な受信データを選択する選択手段と、を設け、前記複数の通信手段の一つを、他の通信手段よりも遅い通信速度でデータ通信を行う低速通信手段とすることにより、該低速通信手段によるデータ通信の信頼性を他の通信手段よりも高くする。
特開2003-191804号公報
本開示のセキュリティシステムは、情報送信装置と、対象機器を接続可能なセキュリティ装置とを備え、前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、前記情報送信装置は、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信し、前記セキュリティ装置は、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成し、前記セキュリティ装置は、自己に接続された前記対象機器の識別情報を取得し、前記セキュリティ装置は、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断する。
本開示のセキュリティ装置は、対象機器を接続可能なセキュリティ装置であって、ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信する受信部と、前記受信部によって受信された前記生成情報を用いて参照用識別情報を生成する生成部と、前記セキュリティ装置に接続された前記対象機器の識別情報を取得する取得部と、前記生成部によって生成された前記参照用識別情報と、前記取得部よって取得された前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断する判断部とを備える。
本開示の正当性判断方法は、情報送信装置と、対象機器を接続可能なセキュリティ装置とを備えるセキュリティシステムにおける正当性判断方法であって、前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、前記情報送信装置が、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信するステップと、前記セキュリティ装置が、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成するステップと、前記セキュリティ装置が、自己に接続された前記対象機器の識別情報を取得するステップと、前記セキュリティ装置が、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断するステップとを含む。
本開示の正当性判断方法は、対象機器を接続可能なセキュリティ装置における正当性判断方法であって、ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信するステップと、受信した前記生成情報を用いて参照用識別情報を生成するステップと、前記セキュリティ装置に接続された前記対象機器の識別情報を取得するステップと、生成した前記参照用識別情報と、取得した前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断するステップとを含む。
本開示の一態様は、このような特徴的な処理部を備えるセキュリティ装置として実現され得るだけでなく、セキュリティ装置の一部または全部を実現する半導体集積回路として実現され得たり、セキュリティ装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。また、本開示の一態様は、セキュリティ装置を備えるセキュリティシステムの一部または全部を実現する半導体集積回路として実現され得たり、セキュリティシステムにおける処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。
図1は、本開示の第1の実施の形態に係る通信システムの構成を示す図である。 図2は、本開示の第1の実施の形態に係るバス接続装置群の構成を示す図である。 図3は、本開示の第1の実施の形態に係るセキュリティシステムの構成を示す図である。 図4は、本開示の第1の実施の形態に係るセキュリティシステムにおけるセキュリティ装置が自己に接続された制御装置の正当性の判断を行う際の動作手順の一例を定めたフローチャートである。 図5は、本開示の第1の実施の形態に係るセキュリティシステムにおける正当性判断処理のシーケンスの一例を示す図である。 図6は、本開示の第2の実施の形態に係るセキュリティシステムの構成を示す図である。 図7は、本開示の第3の実施の形態に係るセキュリティシステムの構成を示す図である。 図8は、本開示の第4の実施の形態に係るセキュリティシステムの構成を示す図である。
従来、ネットワークにおけるセキュリティを向上させるための技術が開発されている。
[本開示が解決しようとする課題]
特許文献1に記載の技術を超えて、ネットワークにおけるセキュリティに関する優れた機能を実現することが可能な技術が望まれる。
本開示は、上述の課題を解決するためになされたもので、その目的は、ネットワークにおけるセキュリティに関する優れた機能を実現することが可能なセキュリティシステム、車両、セキュリティ装置および正当性判断方法を提供することである。
[本開示の効果]
本開示によれば、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
[本開示の実施形態の説明]
最初に、本開示の実施形態の内容を列記して説明する。
(1)本開示の実施の形態に係るセキュリティシステムは、情報送信装置と、対象機器を接続可能なセキュリティ装置とを備え、前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、前記情報送信装置は、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信し、前記セキュリティ装置は、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成し、前記セキュリティ装置は、自己に接続された前記対象機器の識別情報を取得し、前記セキュリティ装置は、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断する。
このように、分散配置されたセキュリティ装置と情報送信装置との間において伝送される生成情報を用いて参照用識別情報を生成し、生成した参照用識別情報を用いて対象機器の正当性を判断する構成により、たとえば情報送信装置およびセキュリティ装置のいずれか一方が攻撃された場合であっても、セキュリティ装置に接続された不正な対象機器をより確実に検知することができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
(2)好ましくは、前記セキュリティ装置は、前記対象機器の正当性の判断結果に応じて、前記対象機器への電力供給を制御する。
このような構成により、たとえば、セキュリティ装置に接続された対象機器が不正な機器である場合に、当該対象機器への電力供給を遮断する制御を行うことができ、セキュリティ性を向上することができる。
(3)より好ましくは、前記セキュリティ装置は、前記識別情報を前記セキュリティ装置へ送信するための回路である送信回路への電力供給と、前記対象機器における回路であって前記送信回路とは異なる回路である対象回路への電力供給とを個別に制御可能であり、前記セキュリティ装置は、前記情報送信装置から前記生成情報を受信すると前記送信回路への電力供給を開始し、前記対象機器が正当であると判断した場合、前記対象回路への電力供給を開始する。
このような構成により、対象機器の正当性を判断するまでの期間において、送信回路への電力供給を開始する一方で、対象回路への電力供給を停止することにより、対象機器の識別情報を提供させながら不正な対象機器の動作を制限することができるため、たとえばネットワークの起動時において、対象機器の動作前に当該対象機器の正当性を判断することができる。
(4)より好ましくは、前記セキュリティ装置は、前記対象機器が正当ではないと判断した場合、前記送信回路への電力供給を停止する。
このような構成により、たとえば、セキュリティ装置に接続された不正な対象機器への電力供給を遮断することによりセキュリティ性を向上することができるとともに、消費電力を低減することができる。
(5)より好ましくは、前記セキュリティ装置は、前記対象機器が正当ではないと判断した場合、前記対象回路への電力供給を開始しない。
このような構成により、たとえば、セキュリティ装置に接続された不正な対象機器への電力供給を行わないことによりセキュリティ性を向上することができるとともに、消費電力を低減することができる。
(6)好ましくは、前記ネットワークは、通信ラインと、補助ラインとを含み、前記対象機器は、前記通信ラインを介して前記ネットワークに接続された他の機器と通信を行い、前記情報送信装置は、前記補助ラインを介して前記生成情報を前記セキュリティ装置へ送信する。
このような構成により、情報送信装置からセキュリティ装置への生成情報の伝送を、通信ラインとは別個の補助ラインを介して行うことができるため、冗長化によりセキュリティ性をより向上させることができる。また、たとえば電源線を補助ラインとして用いることにより、従来のネットワークに補助ラインを別途追加する構成と比べて、セキュリティシステムの実現に必要なコストを低減することができる。
(7)より好ましくは、前記セキュリティ装置は、前記対象機器が正当ではないと判断した場合、前記通信ラインを遮断する処理、前記通信ラインへのエラー通知の送信、および前記通信ラインにおけるジャミングの発生、のうちの少なくともいずれか1つを行う。
このような構成により、不正な機器による不正アクセスの拡大を抑えることができる。
(8)より好ましくは、前記補助ラインは、前記セキュリティ装置へ電力を供給するための電源線である。
このような構成により、従来のネットワークに補助ラインを別途追加する構成と比べて、セキュリティシステムの実現に必要なコストを低減することができる。
(9)好ましくは、前記セキュリティシステムは、さらに、前記セキュリティ装置に前記対象機器を接続するための、前記対象機器に用いられるコネクタを備え、前記コネクタは、前記識別情報を記憶する記憶部と、前記記憶部における前記識別情報を前記セキュリティ装置へ送信するための回路である送信回路とを含む。
このような構成により、セキュリティ装置は、送信回路等の構成を備えない対象機器からコネクタを介して識別情報を取得することができるため、送信回路等の構成を備えない既存の対象機器の正当性を判断することが可能なセキュリティシステムを簡単に構築することができる。
(10)本開示の第1の実施の形態に係る車両は、前記セキュリティシステムを備える。
このような構成により、セキュリティシステムを備える車両において、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
(11)本開示の実施の形態に係るセキュリティ装置は、対象機器を接続可能なセキュリティ装置であって、ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信する受信部と、前記受信部によって受信された前記生成情報を用いて参照用識別情報を生成する生成部と、前記セキュリティ装置に接続された前記対象機器の識別情報を取得する取得部と、前記生成部によって生成された前記参照用識別情報と、前記取得部よって取得された前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断する判断部とを備える。
このように、分散配置されたセキュリティ装置と情報送信装置との間において伝送される生成情報を用いて参照用識別情報を生成し、生成した参照用識別情報を用いて対象機器の正当性を判断する構成により、たとえば情報送信装置およびセキュリティ装置のいずれか一方が攻撃された場合であっても、セキュリティ装置に接続された不正な対象機器をより確実に検知することができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
(12)本開示の実施の形態に係る正当性判断方法は、情報送信装置と、対象機器を接続可能なセキュリティ装置とを備えるセキュリティシステムにおける正当性判断方法であって、前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、前記情報送信装置が、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信するステップと、前記セキュリティ装置が、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成するステップと、前記セキュリティ装置が、自己に接続された前記対象機器の識別情報を取得するステップと、前記セキュリティ装置が、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断するステップとを含む。
このように、分散配置されたセキュリティ装置と情報送信装置との間において伝送される生成情報を用いて参照用識別情報を生成し、生成した参照用識別情報を用いて対象機器の正当性を判断する方法により、たとえば情報送信装置およびセキュリティ装置のいずれか一方が攻撃された場合であっても、セキュリティ装置に接続された不正な対象機器をより確実に検知することができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
(13)本開示の実施の形態に係る正当性判断方法は、対象機器を接続可能なセキュリティ装置における正当性判断方法であって、ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信するステップと、受信した前記生成情報を用いて参照用識別情報を生成するステップと、前記セキュリティ装置に接続された前記対象機器の識別情報を取得するステップと、生成した前記参照用識別情報と、取得した前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断するステップとを含む。
このように、分散配置されたセキュリティ装置と情報送信装置との間において伝送される生成情報を用いて参照用識別情報を生成し、生成した参照用識別情報を用いて対象機器の正当性を判断する方法により、たとえば情報送信装置およびセキュリティ装置のいずれか一方が攻撃された場合であっても、セキュリティ装置に接続された不正な対象機器をより確実に検知することができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
<第1の実施の形態>
[構成および基本動作]
図1は、本開示の第1の実施の形態に係る通信システムの構成を示す図である。
図1を参照して、通信システム501は、ゲートウェイ装置20と、複数の車載通信機30と、複数のバス接続装置群40と、電源回路50とを備える。
通信システム501は、たとえば車両1に搭載される。なお、通信システム501は、ホームネットワークまたはファクトリーオートメーションに用いられもよい。
複数の車載通信機30は、それぞれ対応のケーブル14を介してゲートウェイ装置20と接続される。ケーブル14は、たとえばイーサネット(登録商標)ケーブルである。また、複数のバス接続装置群40は、それぞれ対応のバス13を介してゲートウェイ装置20と接続される。
電源回路50は、電源線15Aを介してゲートウェイ装置20と接続され、電源線15Bを介して車載通信機30と接続され、電源線15Cを介してバス接続装置群40と接続される。以下、電源線15A,15B,15Cの各々を電源線15とも称する。電源回路50は、電源線15を介して、ゲートウェイ装置20、車載通信機30およびバス接続装置群40に電力を供給する。
車載ネットワーク12は、ゲートウェイ装置20、バス13、イーサネットケーブル14および電源線15を含む。
図2は、本開示の第1の実施の形態に係るバス接続装置群の構成を示す図である。
図2を参照して、バス接続装置群40は、バス13および電源線15Cに接続された複数のセキュリティ装置201と、複数の制御装置101とを含む。ゲートウェイ装置20、車載通信機30および制御装置101は、車載装置の一例である。電源線15Cは、セキュリティ装置201へ電力を供給するための電源線である。
セキュリティ装置201は、制御装置101を接続可能である。図2に示す例では、複数のセキュリティ装置201の各々に、対応の制御装置101が接続されている。
セキュリティ装置201に接続された制御装置101は、バス13を介して、車載ネットワーク12に接続された他の制御装置101等の機器と通信を行う。バス13は、通信ラインの一例である。制御装置101は、対象機器の一例である。
電源線15Cには、情報送信装置200が接続される。情報送信装置200の詳細については後述する。電源線15Cは、補助ラインの一例である。
制御装置101は、たとえばECU(Electronic Control Unit)である。なお、バス接続装置群40は、複数の制御装置101を含む構成に限らず、1つの制御装置101を含む構成であってもよい。また、バス接続装置群40における一部の制御装置101は、セキュリティ装置201を介してバス13および電源線15Cに接続されずにバス13および電源線15Cに直接接続されてもよい。
なお、通信システム501は、車載通信機30を含みかつ制御装置101を含まない構成であってもよいし、車載通信機30を含まずかつ制御装置101を含む構成であってもよいし、1つの車載通信機30および1つの制御装置101を含む構成であってもよい。
車載通信機30は、たとえば、車両1の外部における装置と通信する。具体的には、車載通信機30は、たとえば、TCU(Telematics Control Unit)、近距離無線端末装置、およびITS(Intelligent Transport Systems)無線機である。
バス13は、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット、およびLIN(Local Interconnect Network)等の規格に従うバスである。
この例では、バス接続装置群40における各セキュリティ装置201は、CANの規格に従う対応のバス13を介してゲートウェイ装置20と接続されている。
バス13は、たとえば系統別に設けられる。具体的には、バス13は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バスである。
駆動系バスにおけるセキュリティ装置201には、制御装置101の一例であるエンジン制御装置、AT(Automatic Transmission)制御装置およびHEV(Hybrid Electric Vehicle)制御装置が接続されている。エンジン制御装置、AT制御装置およびHEV制御装置は、エンジン、AT、およびエンジンとモータとの切替をそれぞれ制御する。
シャーシ/安全系バスにおけるセキュリティ装置201には、制御装置101の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。
ボディ/電装系バスにおけるセキュリティ装置201には、制御装置101の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。
AV/情報系バスにおけるセキュリティ装置201には、制御装置101の一例であるナビゲーション制御装置、オーディオ制御装置、ETC(Electronic Toll Collection System)(登録商標)制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ETC制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ETC装置および携帯電話をそれぞれ制御する。
ゲートウェイ装置20は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、他の車載装置と通信を行うことが可能である。
ゲートウェイ装置20は、たとえば、車両1において、対応のセキュリティ装置201を介して異なるバス13に接続された制御装置101間でやり取りされる情報、各車載通信機30間でやり取りされる情報、制御装置101および車載通信機30間でやり取りされる情報を中継する中継処理を行う。
[セキュリティシステム]
図3は、本開示の第1の実施の形態に係るセキュリティシステムの構成を示す図である。
図3を参照して、セキュリティシステム401は、情報送信装置200と、セキュリティ装置201と、制御装置101に用いられるコネクタ301とを備える。たとえば、コネクタ301は、制御装置101の基板に実装される。
セキュリティ装置201は、本体部201Aと、コネクタ301を接続可能な接続部201Bとを備える。たとえば、接続部201Bは、セキュリティ装置201に用いられるコネクタであり、本体部201Aの基板に実装される。
セキュリティ装置201における本体部201Aは、インタフェース部210と、生成部220と、電力制御部250と、認証部260と、バス制御部270と、記憶部280とを含む。セキュリティ装置201における接続部201Bは、判断部230と、取得部240とを含む。インタフェース部210、生成部220、判断部230、取得部240、電力制御部250、認証部260およびバス制御部270は、たとえば、CPU(Central Processing Unit)およびDSP(Digital Signal Processor)等のプロセッサによって実現される。記憶部280は、たとえば不揮発性メモリである。
制御装置101は、通信部110と、認証情報送信部120と、電源回路130と、識別情報送信部140と、記憶部150と、記憶部160とを含む。通信部110は、たとえば通信用IC(Integrated Circuit)によって実現される。認証情報送信部120および識別情報送信部140は、たとえば、CPUおよびDSP等のプロセッサによって実現される。記憶部150,160は、たとえば不揮発性メモリである。識別情報送信部140は、識別情報をセキュリティ装置201へ送信するための回路である送信回路の一例である。電源回路130は、対象回路の一例である。
セキュリティ装置201は、コネクタ301を介して制御装置101を接続可能である。より詳細には、セキュリティ装置201は、接続部201Bとコネクタ301とが嵌め合うことにより、コネクタ301を介して制御装置101に接続される。
より詳細には、セキュリティ装置201における取得部240は、コネクタ301を介して制御装置101における識別情報送信部140と接続される。また、セキュリティ装置201における電力制御部250は、コネクタ301を介して制御装置101における識別情報送信部140および電源回路130と接続される。また、セキュリティ装置201における認証部260は、コネクタ301を介して制御装置101における認証情報送信部120と接続される。また、セキュリティ装置201におけるバス制御部270は、コネクタ301を介して制御装置101における通信部110と接続される。
情報送信装置200およびセキュリティ装置201は、車載ネットワーク12を介して互いに接続される。より詳細には、情報送信装置200およびセキュリティ装置201は、電源線15Cを介して互いに接続される。
[情報送信装置]
情報送信装置200は、参照用識別情報を生成するために用いる生成情報をセキュリティ装置201へ送信する。
より詳細には、後述するように、セキュリティ装置201は、参照用識別情報を生成し、生成した参照用識別情報と、制御装置101の識別情報との比較結果に基づいて、当該制御装置101の正当性を判断する。
情報送信装置200は、参照用識別情報の生成に用いる生成情報をセキュリティ装置201へ送信する。
たとえば、情報送信装置200は、参照用識別情報の生成に用いるキーを含む生成情報をセキュリティ装置201へ送信する。
たとえば、情報送信装置200は、電源線15Cを介して生成情報をセキュリティ装置201へ送信する。より詳細には、情報送信装置200は、生成情報が格納された、たとえばCANの規格に従うフレームを生成し、生成したフレームを電源線15C経由でセキュリティ装置201へ送信する。
情報送信装置200は、たとえば車両1のイグニッション電源がオンされて車載ネットワーク12が起動するたびに、車載ネットワーク12における一部または全部のセキュリティ装置201へ生成情報を送信する。
なお、情報送信装置200は、セキュリティ装置201ごとに異なる内容の生成情報を送信する構成であってもよいし、同じ内容の生成情報を複数のセキュリティ装置201へ送信する構成であってもよい。
[セキュリティ装置]
(参照用識別情報の生成)
セキュリティ装置201は、車載ネットワーク12を介して情報送信装置200から受信した生成情報を用いて参照用識別情報を生成する。
より詳細には、インタフェース部210は、車載ネットワーク12を介してセキュリティ装置201に接続される情報送信装置200から生成情報を受信する。そして、生成部220は、インタフェース部210によって受信された生成情報を用いて参照用識別情報を生成する。インタフェース部210は、受信部の一例である。
たとえば、インタフェース部210は、生成情報が格納されたフレームを電源線15C経由で情報送信装置200から受信すると、受信したフレームから生成情報を取得する。インタフェース部210は、取得した生成情報を生成部220へ出力する。
生成部220は、インタフェース部210から生成情報を受けると、受けた生成情報を用いて参照用識別情報を生成する。たとえば、生成部220は、受けた生成情報の内容に応じた情報を含む参照用識別情報を生成する。
たとえば、記憶部280は、キーからハッシュ値を生成するためのハッシュ関数を記憶している。具体的には、たとえば、記憶部280は、ハッシュ関数が行うデータ処理のプログラムを記憶している。
生成部220は、インタフェース部210から生成情報を受けると、たとえば記憶部280から上記プログラムを読み出して実行し、生成情報に含まれるキーをハッシュ関数に入力することにより、参照用識別情報であるハッシュ値を取得する。生成部220は、取得したハッシュ値を判断部230へ出力する。
(識別情報の取得)
セキュリティ装置201は、自己に接続された制御装置101の識別情報を取得する。より詳細には、セキュリティ装置201における取得部240は、セキュリティ装置201に接続された制御装置101の識別情報を取得する。
たとえば、セキュリティ装置201は、制御装置101における識別情報送信部140への電力供給と、制御装置101における電源回路130への電力供給とを個別に制御可能である。そして、セキュリティ装置201は、情報送信装置200から生成情報を受信すると識別情報送信部140への電力供給を開始する。
より詳細には、電力制御部250は、電源線15Cおよびインタフェース部210を介して電源回路50から受けた電源電圧を電源回路130へ出力するか否かを切り替える制御を行う。
インタフェース部210は、情報送信装置200から受信したフレームから生成情報を取得すると、制御装置101における識別情報送信部140への電力供給を開始すべき旨の供給指示S1を電力制御部250へ出力する。
電力制御部250は、供給指示S1をインタフェース部210から受けると、受けた供給指示S1に従い、制御装置101における識別情報送信部140への電源電圧の出力を開始する。
たとえば、制御装置101における記憶部150は、自己の制御装置101のIDを記憶している。
制御装置101における識別情報送信部140は、セキュリティ装置201における電力制御部250から電力供給を受けると、記憶部150からIDを取得し、取得したIDを含む識別情報をセキュリティ装置201における取得部240へ送信する。
セキュリティ装置201における取得部240は、制御装置101における識別情報送信部140から識別情報を受信すると、受信した識別情報を判断部230へ出力する。
(正当性の判断)
セキュリティ装置201は、取得した識別情報と、生成した参照用識別情報とを比較し、比較結果に基づいて、自己に接続された制御装置101の正当性を判断する。
より詳細には、セキュリティ装置201における判断部230は、生成部220によって生成された参照用識別情報と、取得部240よって取得された識別情報とを比較し、比較結果に基づいて、セキュリティ装置201に接続された制御装置101の正当性を判断する。
たとえば、判断部230は、取得部240から識別情報を受けると、受けた識別情報に含まれるIDと、生成部220から受けた識別情報すなわちハッシュ値とを比較する。
判断部230は、IDとハッシュ値とが一致した場合、自己のセキュリティ装置201に接続された制御装置101は正当であると判断する。一方、判断部230は、IDとハッシュ値とが一致しなかった場合、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断する。
たとえば、セキュリティ装置201は、制御装置101の正当性の判断結果に応じて、制御装置101への電力供給を制御する。具体的には、セキュリティ装置201は、制御装置101が正当であると判断した場合、制御装置101における電源回路130への電力供給を開始する。一方、セキュリティ装置201は、制御装置101が正当ではないと判断した場合、制御装置101における電源回路130への電力供給を開始しない。
より詳細には、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当であると判断した場合、制御装置101における電源回路130への電力供給を開始すべき旨の供給指示S2を電力制御部250へ出力する。
電力制御250は、供給指示S2を判断部230から受けると、受けた供給指示S2に従い、電源回路130への電源電圧の出力を開始する。
電源回路130は、セキュリティ装置201における電力制御部250から電力供給を受けると、制御装置101における各回路への電力供給を開始する。
また、たとえば、セキュリティ装置201は、制御装置101が正当ではないと判断した場合、制御装置101における識別情報送信部140への電力供給を停止する。
より詳細には、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、制御装置101における識別情報送信部140への電力供給を停止すべき旨の停止指示S3を電力制御部250へ出力する。
電力制御部250は、停止指示S3を判断部230から受けると、受けた停止指示S3に従い、識別情報送信部140への電源電圧の出力を停止する。
また、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、制御装置101が正当ではない旨を示す判断情報をインタフェース部210および電源線15C経由で情報送信装置200へ送信する。
たとえば、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、バス13を遮断する処理を行う。また、たとえば、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、インタフェース部210を介してバス13へエラー通知を送信する。また、たとえば、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、インタフェース部210を介してバス13においてジャミングを発生する。なお、判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、バス13を遮断する処理、バス13へのエラー通知の送信、およびバス13におけるジャミングの発生のうちの一部または全部を行わない構成であってもよい。
(認証処理)
セキュリティ装置201における認証部260は、判断部230により制御装置101は正当であると判断されると、制御装置101の認証処理を行う。
たとえば、制御装置101における記憶部160は、自己の制御装置101の認証に用いるMAC(Media Access Control)アドレス等の認証情報を記憶している。
制御装置101における認証情報送信部120は、電源回路130から電力供給を受けると、記憶部160から認証情報を取得し、取得した認証情報をコネクタ301経由でセキュリティ装置201における認証部260へ送信する。
セキュリティ装置201における認証部260は、制御装置101における認証情報送信部120から認証情報を受信すると、受信した認証情報に基づいて制御装置101の認証処理を行う。
認証部260は、制御装置101の認証に成功した場合、認証が成功した旨を示す認証成功情報をバス制御部270へ出力する。
たとえば、制御装置101における通信部110は、車載ネットワーク12に接続された他の車載装置宛の制御情報等の各種情報を図示しない処理部から受けて、受けた各種情報をコネクタ301経由でセキュリティ装置201におけるバス制御部270へ送信する。
バス制御部270は、認証部260から認証成功情報を受けると、制御装置101によるバス13を用いた各種情報の伝送を許可する。より詳細には、バス制御部270は、認証部260から認証成功情報を受けた後、制御装置101から受信する各種情報をバス13経由で宛先の車載装置へ中継するとともに、バス13経由で受信した車載装置からの各種情報をコネクタ301経由で制御装置101へ中継する。
一方、認証部260は、制御装置101の認証に失敗した場合、認証が失敗した旨を示す認証失敗情報をインタフェース部210および電源線15C経由で情報送信装置200へ送信する。なお、認証部260は、認証失敗情報をバス制御部270およびバス13経由で車両1内または車両1外における上位装置へ送信する構成であってもよい。
また、認証部260は、制御装置101の認証に失敗した場合、制御装置101における電源回路130および識別情報送信部140への電力供給を停止すべき旨の停止指示S4を電力制御部250へ出力する。
電力制御部250は、停止指示S4を認証部260から受けると、受けた停止指示S4に従い、電源回路130および識別情報送信部140への電源電圧の出力を停止する。
[動作の流れ]
本開示の実施の形態に係る通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
図4は、本開示の第1の実施の形態に係るセキュリティシステムにおけるセキュリティ装置が自己に接続された制御装置の正当性の判断を行う際の動作手順の一例を定めたフローチャートである。
図4を参照して、まず、セキュリティ装置201は、情報送信装置200から生成情報を受信する(ステップS102)。
次に、セキュリティ装置201は、受信した生成情報を用いて参照用識別情報を生成する(ステップS104)。
次に、セキュリティ装置201は、自己に接続された制御装置101における識別情報送信部140への電力供給を開始する(ステップS106)。
次に、セキュリティ装置201は、自己に接続された制御装置101の識別情報を取得する。より詳細には、セキュリティ装置201は、制御装置101における識別情報送信部140から識別情報を受信する(ステップS108)。
次に、セキュリティ装置201は、生成した参照用識別情報と、取得した識別情報とを比較し、比較結果に基づいて、自己に接続された制御装置101の正当性を判断する(ステップS110)。
次に、セキュリティ装置201は、自己に接続された制御装置101が正当ではないと判断した場合(ステップS112でNO)、制御装置101における識別情報送信部140への電力供給を停止する(ステップS114)。
次に、セキュリティ装置201は、制御装置101が正当ではない旨を示す判断情報をインタフェース部210および電源線15C経由で情報送信装置200へ送信する(ステップS116)。
一方、セキュリティ装置201は、自己に接続された制御装置101が正当であると判断した場合(ステップS112でYES)、制御装置101における電源回路130への電力供給を開始する(ステップS118)。
次に、セキュリティ装置201は、自己に接続された制御装置101の認証情報を取得する。より詳細には、セキュリティ装置201は、制御装置101における認証情報送信部120から認証情報を受信する(ステップS120)。
次に、セキュリティ装置201は、認証情報に基づいて制御装置101の認証処理を行う(ステップS122)。
次に、セキュリティ装置201は、制御装置101の認証に失敗した場合(ステップS124でNO)、制御装置101における識別情報送信部140および電源回路130への電力供給を停止する(ステップS126)。
次に、セキュリティ装置201は、制御装置101の認証に失敗した旨を示す認証失敗情報をインタフェース部210および電源線15C経由で情報送信装置200へ送信する(ステップS128)。
一方、セキュリティ装置201は、制御装置101の認証に成功した場合(ステップS124でYES)、制御装置101によるバス13を用いた各種情報の伝送を許可する(ステップS130)。
図5は、本開示の第1の実施の形態に係るセキュリティシステムにおける正当性判断処理のシーケンスの一例を示す図である。
図5を参照して、まず、情報送信装置200は、たとえば車両1のイグニッション電源がオンされて車載ネットワーク12が起動されると、生成情報をセキュリティ装置201へ送信する(ステップS202)。
次に、セキュリティ装置201は、受信した生成情報を用いて参照用識別情報を生成する(ステップS204)。
次に、セキュリティ装置201は、自己に接続された制御装置101における識別情報送信部140への電源電圧の出力を開始する(ステップS206)。
次に、セキュリティ装置201は、自己に接続された制御装置101の識別情報を取得する。より詳細には、制御装置101における識別情報送信部140は、制御装置101のIDを含む識別情報をセキュリティ装置201へ送信する(ステップS208)。
次に、セキュリティ装置201は、生成した参照用識別情報と、取得した識別情報とを比較し、比較結果に基づいて、自己に接続された制御装置101の正当性を判断する(ステップS210)。
次に、セキュリティ装置201は、自己に接続された制御装置101が正当であると判断した場合、制御装置101における電源回路130への電源電圧の出力を開始する(ステップS212)。
次に、セキュリティ装置201は、自己に接続された制御装置101の認証情報を取得する。より詳細には、制御装置101における認証情報送信部120は、認証情報をセキュリティ装置201へ送信する(ステップS214)。
次に、セキュリティ装置201は、認証情報に基づいて制御装置101の認証処理を行う(ステップS216)。
次に、セキュリティ装置201は、制御装置101の認証に成功した場合、制御装置101によるバス13を用いた各種情報の伝送を許可する。より詳細には、セキュリティ装置201は、制御装置101の認証に成功した後、制御装置101から各種情報を受信すると(ステップS218)、受信した情報をバス13経由で宛先の車載装置へ中継し(ステップS220)、車載装置からバス13経由で各種情報を受信すると(ステップS222)、受信した情報を制御装置101へ中継する(ステップS224)。
なお、本開示の第1の実施の形態に係るセキュリティシステム401では、セキュリティ装置201は、制御装置101の正当性の判断結果に応じて、制御装置101への電力供給を制御する構成であるとしたが、これに限定するものではない。セキュリティ装置201は、制御装置101の正当性の判断結果に関わらず、制御装置101への電力供給を行う構成であってもよい。
また、本開示の第1の実施の形態に係るセキュリティシステム401では、セキュリティ装置201は、制御装置101における識別情報送信部140への電力供給と、制御装置101における電源回路130への電力供給とを個別に制御可能な構成であるとしたが、これに限定するものではない。セキュリティ装置201は、識別情報送信部140への電力供給と電源回路130への電力供給とを個別に制御できない構成であってもよい。より詳細には、セキュリティ装置201は、情報送信装置200から生成情報を受信すると、識別情報送信部140および電源回路130への電力供給を開始する構成であってもよい。
また、本開示の第1の実施の形態に係るセキュリティシステム401では、情報送信装置200は、電源線15Cを介して生成情報をセキュリティ装置201へ送信する構成であるとしたが、これに限定するものではない。情報送信装置200は、バス13を介して生成情報をセキュリティ装置201へ送信する構成であってもよい。
ところで、ネットワークにおけるセキュリティに関する優れた機能を実現することを可能とする技術が望まれる。
これに対して、本開示の第1の実施の形態に係るセキュリティシステム401では、情報送信装置200およびセキュリティ装置201は、車載ネットワーク12を介して互いに接続されている。情報送信装置200は、参照用識別情報を生成するために用いる生成情報をセキュリティ装置201へ送信する。セキュリティ装置201は、車載ネットワーク12を介して情報送信装置200から受信した生成情報を用いて参照用識別情報を生成する。セキュリティ装置201は、自己に接続された制御装置101の識別情報を取得する。セキュリティ装置201は、取得した識別情報と、生成した参照用識別情報とを比較し、比較結果に基づいて、自己に接続された制御装置101の正当性を判断する。
本開示の第1の実施の形態に係る正当性判断方法は、情報送信装置200と、制御装置101を接続可能なセキュリティ装置201とを備えるセキュリティシステム401における正当性判断方法である。この正当性判断方法では、まず、情報送信装置200が、参照用識別情報を生成するために用いる生成情報をセキュリティ装置201へ送信する。次に、セキュリティ装置201が、車載ネットワーク12を介して情報送信装置200から受信した生成情報を用いて参照用識別情報を生成する。次に、セキュリティ装置201が、自己に接続された制御装置101の識別情報を取得する。次に、セキュリティ装置201が、取得した識別情報と、生成した参照用識別情報とを比較し、比較結果に基づいて、自己に接続された制御装置101の正当性を判断する。
このように、分散配置されたセキュリティ装置201と情報送信装置200との間において伝送される生成情報を用いて参照用識別情報を生成し、生成した参照用識別情報を用いて制御装置101の正当性を判断する構成および方法により、たとえば情報送信装置200およびセキュリティ装置201のいずれか一方が攻撃された場合であっても、セキュリティ装置201に接続された不正な制御装置をより確実に検知することができる。
したがって、本開示の第1の実施の形態に係るセキュリティシステムおよび正当性判断方法では、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
本開示の第1の実施の形態に係るセキュリティ装置201では、インタフェース部210は、車載ネットワーク12を介してセキュリティ装置201に接続される情報送信装置200から生成情報を受信する。生成部220は、インタフェース部210によって受信された生成情報を用いて参照用識別情報を生成する。取得部240は、セキュリティ装置201に接続された制御装置101の識別情報を取得する。判断部230は、生成部220によって生成された参照用識別情報と、取得部240よって取得された識別情報とを比較し、比較結果に基づいて、セキュリティ装置201に接続された制御装置101の正当性を判断する。
本開示の第1の実施の形態に係る正当性判断方法は、制御装置101を接続可能なセキュリティ装置201における正当性判断方法である。この正当性判断方法では、まず、セキュリティ装置201が、車載ネットワーク12を介してセキュリティ装置201に接続される情報送信装置200から生成情報を受信する。次に、セキュリティ装置201が、受信した生成情報を用いて参照用識別情報を生成する。次に、セキュリティ装置201が、セキュリティ装置201に接続された制御装置101の識別情報を取得する。次に、セキュリティ装置201が、生成した参照用識別情報と、取得した識別情報とを比較し、比較結果に基づいて、セキュリティ装置201に接続された制御装置101の正当性を判断する。
このように、分散配置されたセキュリティ装置201と情報送信装置200との間において伝送される生成情報を用いて参照用識別情報を生成し、生成した参照用識別情報を用いて制御装置101の正当性を判断する構成および方法により、たとえば情報送信装置200およびセキュリティ装置201のいずれか一方が攻撃された場合であっても、セキュリティ装置201に接続された不正な制御装置をより確実に検知することができる。
したがって、本開示の第1の実施の形態に係るセキュリティ装置および正当性判断方法では、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第2の実施の形態>
本実施の形態は、第1の実施の形態に係るセキュリティシステム401と比べて、識別情報送信部140および記憶部150がコネクタ301に設けられたセキュリティシステム402に関する。以下で説明する内容以外は第1の実施の形態に係るセキュリティシステム401と同様である。
図6は、本開示の第2の実施の形態に係るセキュリティシステムの構成を示す図である。
図6を参照して、制御装置101は、通信部110と、認証情報送信部120と、電源回路130と、記憶部160とを含む。
また、コネクタ301は、識別情報送信部140と、記憶部150とを含む。
たとえば、コネクタ301における記憶部150は、自己のコネクタ301に接続されるべき制御装置101のIDを記憶している。
セキュリティ装置201における電力制御部250は、供給指示S1をインタフェース部210から受けると、受けた供給指示S1に従い、コネクタ301における識別情報送信部140への電源電圧の出力を開始する。
コネクタ301における識別情報送信部140は、セキュリティ装置201における電力制御部250から電力供給を受けると、記憶部150からIDを取得し、取得したIDを含む識別情報をセキュリティ装置201における取得部240へ送信する。識別情報送信部140は、記憶部150における識別情報をセキュリティ装置201へ送信するための送信回路の一例である。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第3の実施の形態>
本実施の形態は、第1の実施の形態に係るセキュリティシステム401と比べて、バス制御部270および電力制御部250がコネクタ301に設けられたセキュリティシステム403に関する。以下で説明する内容以外は第1および第2の実施の形態に係るセキュリティシステム401,402と同様である。
図7は、本開示の第3の実施の形態に係るセキュリティシステムの構成を示す図である。
図7を参照して、セキュリティ装置201における本体部201Aは、インタフェース部210と、生成部220と、認証部260と、記憶部280とを含む。セキュリティ装置201における接続部201Bは、判断部230と、取得部240とを含む。
また、コネクタ301は、バス制御部270と、電力制御部250とを含む。
コネクタ301における電力制御部250は、電源線15Cおよびインタフェース部210を介して電源回路50から受けた電源電圧を制御装置101における電源回路130へ出力するか否かを切り替える制御を行う。
セキュリティ装置201におけるインタフェース部210は、情報送信装置200から受信したフレームから生成情報を取得すると、制御装置101における識別情報送信部140への電力供給を開始すべき旨の供給指示S1をコネクタ301における電力制御部250へ出力する。
コネクタ301における電力制御部250は、供給指示S1をセキュリティ装置201におけるインタフェース部210から受けると、受けた供給指示S1に従い、制御装置101における識別情報送信部140への電源電圧の出力を開始する。
たとえば、セキュリティ装置201における判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当であると判断した場合、制御装置101における電源回路130への電力供給を開始すべき旨の供給指示S2をコネクタ301における電力制御部250へ出力する。
コネクタ301における電力制御部250は、供給指示S2をセキュリティ装置201における判断部230から受けると、受けた供給指示S2に従い、制御装置101における電源回路130への電源電圧の出力を開始する。
一方、セキュリティ装置201における判断部230は、自己のセキュリティ装置201に接続された制御装置101は正当ではないと判断した場合、制御装置101における識別情報送信部140への電力供給を停止すべき旨の停止指示S3をコネクタ301における電力制御部250へ出力する。
コネクタ301における電力制御部250は、停止指示S3をセキュリティ装置201における判断部230から受けると、受けた停止指示S3に従い、制御装置101における識別情報送信部140への電源電圧の出力を停止する。
セキュリティ装置201における認証部260は、制御装置101における認証情報送信部120から受信した認証情報に基づいて制御装置101の認証処理を行い、制御装置101の認証に成功した場合、認証が成功した旨を示す認証成功情報をコネクタ301におけるバス制御部270へ出力する。
コネクタ301におけるバス制御部270は、セキュリティ装置201における認証部260から認証成功情報を受けた後、制御装置101から受信する各種情報をバス13経由で宛先の車載装置へ中継する。
一方、認証部260は、制御装置101の認証に失敗した場合、制御装置101における電源回路130および識別情報送信部140への電力供給を停止すべき旨の停止指示S4をコネクタ301における電力制御部250へ出力する。
コネクタ301における電力制御部250は、停止指示S4をセキュリティ装置201における認証部260から受けると、受けた停止指示S4に従い、制御装置101における電源回路130および識別情報送信部140への電源電圧の出力を停止する。
上述のように、本開示の第3の実施の形態に係るセキュリティシステム403では、コネクタ301は、バス制御部270と、電力制御部250とを含む。このような構成により、セキュリティ装置201がバス制御部270および電力制御部250を備える構成と比べて、セキュリティ装置201のコストを低減することができる。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第4の実施の形態>
本実施の形態は、第2の実施の形態に係るセキュリティシステム402と比べて、バス制御部270および電力制御部250がコネクタ301に設けられたセキュリティシステム404に関する。以下で説明する内容以外は第1~第3の実施の形態に係るセキュリティシステム401~403と同様である。
図8は、本開示の第4の実施の形態に係るセキュリティシステムの構成を示す図である。
図8を参照して、セキュリティ装置201における本体部201Aは、インタフェース部210と、生成部220と、認証部260と、記憶部280とを含む。セキュリティ装置201における接続部201Bは、判断部230と、取得部240とを含む。
また、制御装置101は、通信部110と、認証情報送信部120と、電源回路130と、記憶部160とを含む。
また、コネクタ301は、バス制御部270と、電力制御部250と、識別情報送信部140と、記憶部150とを含む。
セキュリティシステム404のセキュリティ装置201、コネクタ301および制御装置101における各ユニットの動作および機能は、セキュリティシステム401,402,403のセキュリティ装置201、コネクタ301および制御装置101における各ユニットの動作および機能と同様であるため、詳細な説明は繰り返さない。
上述のように、本開示の第4の実施の形態に係るセキュリティシステム404では、コネクタ301は、バス制御部270と、電力制御部250と、識別情報送信部140と、記憶部150とを含む。このような構成により、セキュリティ装置201がバス制御部270および電力制御部250を備える構成と比べて、セキュリティ装置201のコストを低減することができる。さらに、セキュリティ装置201は、送信回路等の構成を備えない制御装置101からコネクタ301を介して識別情報を取得することができるため、送信回路等の構成を備えない既存の制御装置101の正当性を判断することが可能なセキュリティシステムを簡単に構築することができる。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
情報送信装置と、
対象機器を接続可能なセキュリティ装置とを備え、
前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、
前記情報送信装置は、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成し、
前記セキュリティ装置は、自己に接続された前記対象機器の識別情報を取得し、
前記セキュリティ装置は、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断し、
前記情報送信装置は、前記ネットワークが起動されると、電源線を介して前記生成情報を前記セキュリティ装置へ送信する、セキュリティシステム。
[付記2]
情報送信装置と、
対象機器を接続可能なセキュリティ装置とを備え、
前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、
前記情報送信装置は、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成し、
前記セキュリティ装置は、自己に接続された前記対象機器の識別情報を取得し、
前記セキュリティ装置は、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断し、
前記ネットワークは、車載ネットワークであり、
前記対象機器は、ECUである、セキュリティシステム。
[付記3]
対象機器を接続可能なセキュリティ装置であって、
ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信する受信部と、
前記受信部によって受信された前記生成情報を用いて参照用識別情報を生成する生成部と、
前記セキュリティ装置に接続された前記対象機器の識別情報を取得する取得部と、
前記生成部によって生成された前記参照用識別情報と、前記取得部よって取得された前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断する判断部とを備え、
前記受信部は、前記ネットワークが起動されると、電源線を介して前記情報送信装置から前記生成情報を受信する、セキュリティ装置。
[付記4]
対象機器を接続可能なセキュリティ装置であって、
ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信する受信部と、
前記受信部によって受信された前記生成情報を用いて参照用識別情報を生成する生成部と、
前記セキュリティ装置に接続された前記対象機器の識別情報を取得する取得部と、
前記生成部によって生成された前記参照用識別情報と、前記取得部よって取得された前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断する判断部とを備え、
前記受信部、前記生成部、前記取得部および前記判断部は、プロセッサにより実現される、セキュリティ装置。
1 車両
12 車載ネットワーク
13 バス
14 イーサネットケーブル
15 電源線
20 ゲートウェイ装置
30 車載通信機
40 バス接続装置群
50 電源回路
101 制御装置
110 通信部
120 認証情報送信部
130 電源回路
140 識別情報送信部
150 記憶部
160 記憶部
200 情報送信装置
201 セキュリティ装置
201A 本体部
201B 接続部
210 インタフェース部
220 生成部
230 判断部
240 取得部
250 電力制御部
260 認証部
270 バス制御部
280 記憶部
301 コネクタ
401,402,403,404 セキュリティシステム
501 通信システム

Claims (13)

  1. 情報送信装置と、
    対象機器を接続可能なセキュリティ装置とを備え、
    前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、
    前記情報送信装置は、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信し、
    前記セキュリティ装置は、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成し、
    前記セキュリティ装置は、自己に接続された前記対象機器の識別情報を取得し、
    前記セキュリティ装置は、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断する、セキュリティシステム。
  2. 前記セキュリティ装置は、前記対象機器の正当性の判断結果に応じて、前記対象機器への電力供給を制御する、請求項1に記載のセキュリティシステム。
  3. 前記セキュリティ装置は、前記識別情報を前記セキュリティ装置へ送信するための回路である送信回路への電力供給と、前記対象機器における回路であって前記送信回路とは異なる回路である対象回路への電力供給とを個別に制御可能であり、
    前記セキュリティ装置は、前記情報送信装置から前記生成情報を受信すると前記送信回路への電力供給を開始し、前記対象機器が正当であると判断した場合、前記対象回路への電力供給を開始する、請求項2に記載のセキュリティシステム。
  4. 前記セキュリティ装置は、前記対象機器が正当ではないと判断した場合、前記送信回路への電力供給を停止する、請求項3に記載のセキュリティシステム。
  5. 前記セキュリティ装置は、前記対象機器が正当ではないと判断した場合、前記対象回路への電力供給を開始しない、請求項3または請求項4に記載のセキュリティシステム。
  6. 前記ネットワークは、通信ラインと、補助ラインとを含み、
    前記対象機器は、前記通信ラインを介して前記ネットワークに接続された他の機器と通信を行い、
    前記情報送信装置は、前記補助ラインを介して前記生成情報を前記セキュリティ装置へ送信する、請求項1から請求項5のいずれか1項に記載のセキュリティシステム。
  7. 前記セキュリティ装置は、前記対象機器が正当ではないと判断した場合、前記通信ラインを遮断する処理、前記通信ラインへのエラー通知の送信、および前記通信ラインにおけるジャミングの発生のうちの少なくともいずれか1つを行う、請求項6に記載のセキュリティシステム。
  8. 前記補助ラインは、前記セキュリティ装置へ電力を供給するための電源線である、請求項6または請求項7に記載のセキュリティシステム。
  9. 前記セキュリティシステムは、さらに、前記セキュリティ装置に前記対象機器を接続するための、前記対象機器に用いられるコネクタを備え、
    前記コネクタは、
    前記識別情報を記憶する記憶部と、
    前記記憶部における前記識別情報を前記セキュリティ装置へ送信するための回路である送信回路とを含む、請求項1から請求項8のいずれか1項に記載のセキュリティシステム。
  10. 請求項1から請求項9のいずれか1項に記載のセキュリティシステムを備える、車両。
  11. 対象機器を接続可能なセキュリティ装置であって、
    ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信する受信部と、
    前記受信部によって受信された前記生成情報を用いて参照用識別情報を生成する生成部と、
    前記セキュリティ装置に接続された前記対象機器の識別情報を取得する取得部と、
    前記生成部によって生成された前記参照用識別情報と、前記取得部よって取得された前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断する判断部とを備える、セキュリティ装置。
  12. 情報送信装置と、対象機器を接続可能なセキュリティ装置とを備えるセキュリティシステムにおける正当性判断方法であって、
    前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、
    前記情報送信装置が、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信するステップと、
    前記セキュリティ装置が、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成するステップと、
    前記セキュリティ装置が、自己に接続された前記対象機器の識別情報を取得するステップと、
    前記セキュリティ装置が、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断するステップとを含む、正当性判断方法。
  13. 対象機器を接続可能なセキュリティ装置における正当性判断方法であって、
    ネットワークを介して前記セキュリティ装置に接続される情報送信装置から生成情報を受信するステップと、
    受信した前記生成情報を用いて参照用識別情報を生成するステップと、
    前記セキュリティ装置に接続された前記対象機器の識別情報を取得するステップと、
    生成した前記参照用識別情報と、取得した前記識別情報とを比較し、比較結果に基づいて、前記セキュリティ装置に接続された前記対象機器の正当性を判断するステップとを含む、正当性判断方法。
JP2022501620A 2020-02-18 2020-10-16 セキュリティシステム、車両、セキュリティ装置および正当性判断方法 Active JP7491362B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2020025009 2020-02-18
JP2020025009 2020-02-18
PCT/JP2020/039092 WO2021166321A1 (ja) 2020-02-18 2020-10-16 セキュリティシステム、車両、セキュリティ装置および正当性判断方法

Publications (3)

Publication Number Publication Date
JPWO2021166321A1 JPWO2021166321A1 (ja) 2021-08-26
JPWO2021166321A5 JPWO2021166321A5 (ja) 2022-10-12
JP7491362B2 true JP7491362B2 (ja) 2024-05-28

Family

ID=77390627

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022501620A Active JP7491362B2 (ja) 2020-02-18 2020-10-16 セキュリティシステム、車両、セキュリティ装置および正当性判断方法

Country Status (5)

Country Link
US (1) US20230046939A1 (ja)
JP (1) JP7491362B2 (ja)
CN (1) CN115004642A (ja)
DE (1) DE112020006751T5 (ja)
WO (1) WO2021166321A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013193598A (ja) 2012-03-21 2013-09-30 Denso Corp 車両用認証装置、及び車両用認証システム
JP2015098312A (ja) 2013-11-20 2015-05-28 トヨタ自動車株式会社 車載ネットワークシステム
JP2018030464A (ja) 2016-08-25 2018-03-01 株式会社オートネットワーク技術研究所 車両用認証装置
JP2019129500A (ja) 2018-01-26 2019-08-01 住友電気工業株式会社 なりすまし検出装置、検出方法、およびコンピュータプログラム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3994821B2 (ja) 2001-10-19 2007-10-24 株式会社デンソー 車両用通信システム
JP2009240065A (ja) * 2008-03-27 2009-10-15 Zirion Networks Inc 電力供給システム及び電力供給管理システム
JP2012192754A (ja) * 2011-03-15 2012-10-11 Omron Automotive Electronics Co Ltd 車載機器制御装置
JP5838983B2 (ja) * 2013-02-25 2016-01-06 トヨタ自動車株式会社 情報処理装置及び情報処理方法
CN104517366B (zh) * 2013-09-27 2019-04-16 中兴通讯股份有限公司 一种无线充电方法及相应的车载充电设备、设备管理器
US10102174B2 (en) * 2014-10-03 2018-10-16 Verizon Patent And Licensing Inc. Smart harness
CN106603461A (zh) * 2015-10-14 2017-04-26 阿里巴巴集团控股有限公司 一种业务认证的方法、装置和系统
JP6724717B2 (ja) * 2016-10-25 2020-07-15 株式会社オートネットワーク技術研究所 車載機器判定システム
JP6766766B2 (ja) * 2017-07-10 2020-10-14 住友電気工業株式会社 認証制御装置、認証制御方法および認証制御プログラム
US10642602B2 (en) * 2017-12-12 2020-05-05 Nxp Usa, Inc. NVM architecture with OTA support
JP6893181B2 (ja) * 2018-01-12 2021-06-23 日立Astemo株式会社 電力線通信装置、車載装置および車載システム
FR3079640B1 (fr) * 2018-04-03 2020-04-24 Slat Dispositif d'authentification de peripheriques connectes sur un reseau et procede d'authentification associe
JP2020025009A (ja) 2018-08-07 2020-02-13 トヨタ自動車株式会社 コイルユニット
CN109618344B (zh) * 2019-01-25 2020-06-23 广东省恒博信息有限公司 一种无线监控设备的安全连接方法及装置
CN110571922B (zh) * 2019-05-14 2022-04-15 恒宝股份有限公司 一种基于共享密钥的物联网设备认证方法
US20210105321A1 (en) * 2019-10-08 2021-04-08 Ford Global Technologies, Llc Vehicle software check
US11568691B2 (en) * 2020-02-05 2023-01-31 Master Lock Company Llc Key fob isolator

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013193598A (ja) 2012-03-21 2013-09-30 Denso Corp 車両用認証装置、及び車両用認証システム
JP2015098312A (ja) 2013-11-20 2015-05-28 トヨタ自動車株式会社 車載ネットワークシステム
JP2018030464A (ja) 2016-08-25 2018-03-01 株式会社オートネットワーク技術研究所 車両用認証装置
JP2019129500A (ja) 2018-01-26 2019-08-01 住友電気工業株式会社 なりすまし検出装置、検出方法、およびコンピュータプログラム

Also Published As

Publication number Publication date
US20230046939A1 (en) 2023-02-16
WO2021166321A1 (ja) 2021-08-26
CN115004642A (zh) 2022-09-02
JPWO2021166321A1 (ja) 2021-08-26
DE112020006751T5 (de) 2022-12-15

Similar Documents

Publication Publication Date Title
JP5776779B2 (ja) 車載ゲートウェイ装置及び車両用通信システム
CN109327307B (zh) 基于can总线的汽车远程控制方法
JP4942261B2 (ja) 車両用中継装置、及び、車内通信システム
US7046638B1 (en) Wireless access to closed embedded networks
JP6782446B2 (ja) 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム
US20190068361A1 (en) In-vehicle group key distribution
US7840321B2 (en) System of control devices in a motor vehicle with protected diagnostics access points and method of using the system
JP2008523743A (ja) 車両内の少なくとも一つのモバイル端末の、アップデート装置を利用した利用システム
CN105793824A (zh) 程序更新系统及程序更新方法
US11647077B2 (en) VIN ESN signed commands and vehicle level local web of trust
WO2012105215A1 (ja) 車両用制御装置
CN108574945B (zh) 车辆通信
CN113452742B (zh) 诊断系统及车辆
US20190132311A1 (en) Electronic control device, communication management method, and non-transitory storage medium storing program
CN112423266A (zh) 一种车辆诊断方法、装置及汽车
US11438343B2 (en) Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network
WO2007032488A1 (ja) 車載負荷駆動制御システム
WO2020195066A1 (ja) 車載通信システム、車載中継装置及び車載制御装置
JP6191397B2 (ja) 通信中継装置、通信中継処理
JP4808127B2 (ja) 車内通信方法、車内通信システム、中継装置及び車載型通信装置
JP7491362B2 (ja) セキュリティシステム、車両、セキュリティ装置および正当性判断方法
WO2021024739A1 (ja) 車載中継装置、車載通信システム、通信プログラム及び通信方法
JP4240781B2 (ja) 移動体用多重伝送装置
JP2009194733A (ja) 車両用通信制御装置、車載ネットワーク、ポリシー情報生成方法
CN217388734U (zh) 网关连接装置和车辆

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220711

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230421

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240429