JPWO2018207243A1 - 車載認証システム、車両通信装置、認証管理装置、車載認証方法および車載認証プログラム - Google Patents
車載認証システム、車両通信装置、認証管理装置、車載認証方法および車載認証プログラム Download PDFInfo
- Publication number
- JPWO2018207243A1 JPWO2018207243A1 JP2019516759A JP2019516759A JPWO2018207243A1 JP WO2018207243 A1 JPWO2018207243 A1 JP WO2018207243A1 JP 2019516759 A JP2019516759 A JP 2019516759A JP 2019516759 A JP2019516759 A JP 2019516759A JP WO2018207243 A1 JPWO2018207243 A1 JP WO2018207243A1
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- authentication
- electronic control
- unit
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims description 105
- 230000006870 function Effects 0.000 claims abstract description 200
- 230000008569 process Effects 0.000 claims description 70
- 238000012545 processing Methods 0.000 claims description 55
- 230000008859 change Effects 0.000 claims description 23
- 238000007726 management method Methods 0.000 description 106
- 238000010586 diagram Methods 0.000 description 26
- 238000012986 modification Methods 0.000 description 12
- 230000004048 modification Effects 0.000 description 12
- 238000012795 verification Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/01—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
- B60R25/04—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0816—Indicating performance data, e.g. occurrence of a malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2358—Change logging, detection, and notification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9035—Filtering based on additional data, e.g. user or group profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Mechanical Engineering (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Computational Linguistics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Stored Programmes (AREA)
- Small-Scale Networks (AREA)
Abstract
車載認証システムは、複数のECUを搭載する車両に備えられ、各ECUと通信する車両通信装置(100)を有する。認証部(101)は、各ECUについて構成の正当性を認証する構成認証を実行し、構成認証が失敗したECUを認証エラーリストに登録する。判定部(102)は、車両において実現される車両搭載機能と車両搭載機能の実現に用いられるECUとの相関を表した機能相関テーブルと、認証エラーリストとに基づいて、車両において実現可能な車両搭載機能を判定する。表示部(107)は、判定部(102)により、車両において実現可能と判定された車両搭載機能を、表示機器(805)に表示する。
Description
本発明は、車載認証システム、車載認証方法および車載認証プログラムに関する。
近年、車載システムには、様々な機能を制御するECU(Electric Control Unit)が多数搭載されている。各ECUは、車載ネットワークを介して他のECUと相互に接続され、他のECUと協調動作を行う。一方、車載ネットワークに不正なデバイスを接続する、あるいは、正規のデバイスを不正なデバイスに取替えるといった不正な操作による攻撃が問題となっている。そのため、このような攻撃から車載システムを守る技術が重要となっている。車載システムを守る技術には、攻撃を未然に防ぐ技術、および、車両が不正に制御される可能性が高い場合に不正な制御の影響を抑制する技術が含まれる。
車載システムを守る技術をECUに搭載するために、ECUに対する機能変更および機能追加を行うソフトウェア更新が当たり前になってくる。さらに、新規のECUを追加する際のPnP(Plug and Play)対応も必要となってくる。それらをセキュアに行うためには、不正なECUと正規のECUを判別するための認証と、構成が変化するような状況での構成認証の実施が必要である。
また、ECU機能の追加により、ユーザに対して新たな車両搭載機能が提供される。このとき、車両ではECUと協調動作を行う他ECUとの相関関係に変化が生じている。そのため、変化に応じて最新情報を管理する仕組みが必要である。
車載システムを守る技術をECUに搭載するために、ECUに対する機能変更および機能追加を行うソフトウェア更新が当たり前になってくる。さらに、新規のECUを追加する際のPnP(Plug and Play)対応も必要となってくる。それらをセキュアに行うためには、不正なECUと正規のECUを判別するための認証と、構成が変化するような状況での構成認証の実施が必要である。
また、ECU機能の追加により、ユーザに対して新たな車両搭載機能が提供される。このとき、車両ではECUと協調動作を行う他ECUとの相関関係に変化が生じている。そのため、変化に応じて最新情報を管理する仕組みが必要である。
特許文献1には、ECUに対応付けられたセキュリティレベルと、セキュリティレベルに対応した不正対応処理とを定義した対応情報テーブルを設け、不正が検知されたECUに対応した不正対応処理を行う技術が開示されている。
また、特許文献2には、マスタECUが車両に搭載される可能性のある全てのECUの情報に関するデータベースを備え、マスタECUがマスタECU以外のECUに対する検証を行うことで構成証明を行う技術が記載されている。
また、特許文献2には、マスタECUが車両に搭載される可能性のある全てのECUの情報に関するデータベースを備え、マスタECUがマスタECU以外のECUに対する検証を行うことで構成証明を行う技術が記載されている。
特許文献1の技術では、単にECUのセキュリティレベルに応じて「停止、徐行、間隔をあけて走行、通知」といった不正対応処理を行うだけである。このため、特許文献1の技術では、過剰に車両搭載機能を止めてしまう虞がある。
また、特許文献2の技術では、構成証明が確認できなかった場合には、対象のECUと他のECUとの通信を無効化するまでの技術しか開示されていない。このため、特許文献2の技術では、運転者が車両の機能の状態について確認できず、安全性および利便性が劣っている。
また、特許文献2の技術では、構成証明が確認できなかった場合には、対象のECUと他のECUとの通信を無効化するまでの技術しか開示されていない。このため、特許文献2の技術では、運転者が車両の機能の状態について確認できず、安全性および利便性が劣っている。
本発明は、不正なECUを検出した場合、不正なECU以外のECUにより実現可能な車両搭載機能を表示することにより、安全性および利便性を向上させることを目的とする。
本発明に係る車載認証システムは、複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムにおいて、
前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証部と、
前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定部と、
前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示部とを備えた。
前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証部と、
前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定部と、
前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示部とを備えた。
本発明に係る車載認証システムでは、認証部が、構成認証が失敗した電子制御装置を認証エラーリストに登録する。判定部が、車両搭載機能と車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、認証エラーリストとに基づいて、車両において実現可能な車両搭載機能を判定する。表示部が、車両において実現可能と判定された車両搭載機能を、車両通信装置の表示機器に表示する。よって、本発明に係る車載認証システムによれば、不正な電子制御装置を検出した場合でも過剰に車両搭載機能を止めてしまうことなく、安全性および利便性を向上させることができる。
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係る車載認証システム10の構成について説明する。
車載認証システム10は、車両200と認証管理装置300とベンダサーバ装置400とを備える。車両200と認証管理装置300とベンダサーバ装置400とはネットワークを介して通信を行う。ネットワークの具体例は、インターネットである。
***構成の説明***
図1を用いて、本実施の形態に係る車載認証システム10の構成について説明する。
車載認証システム10は、車両200と認証管理装置300とベンダサーバ装置400とを備える。車両200と認証管理装置300とベンダサーバ装置400とはネットワークを介して通信を行う。ネットワークの具体例は、インターネットである。
車両200は、互いに通信する少なくとも2つ以上の電子制御装置を搭載する。電子制御装置はECUと呼ばれる。以下において、電子制御装置をECUと呼ぶ。車両200は、CAN(Controller area network)、あるいは、FlexRayといった通信プロトコルに準拠した車載ネットワークを備える。車両200に搭載された複数のECUは、この車載ネットワークを介して互いに通信する。また、車両200は、車両通信装置100を備える。車両通信装置100は、複数の電子制御装置の各電子制御装置と通信する。
車両200は、車両システムともいう。また、車両通信装置100は、具体的には、車両200のゲートウェイ装置である。
車両200は、車両システムともいう。また、車両通信装置100は、具体的には、車両200のゲートウェイ装置である。
ベンダサーバ装置400は、ECUごとに存在するECUベンダが管理するサーバ装置である。よって、ベンダサーバ装置400は複数存在する。ベンダサーバ装置400は、更新ソフトウェアおよび更新ECU情報を提供する。更新ソフトウェアは、機能の追加、機能の変更、あるいは、不具合の修正のための最新のソフトウェアである。車両200では、更新ソフトウェアをダウンロードして現状のプログラムを更新あるいは変更することで、ECUのプログラムが最新の状態になる。更新ECU情報は、ソフトウェアの更新、あるいは、新規のECUの追加によって、車両200のソフトウェアおよびハードウェアに変更があったときに、変更内容を伝達するための情報である。
図2を用いて、本実施の形態に係る車両通信装置100の構成について説明する。
車両通信装置100は、車両200のECUの正当性を認証する。また、車両通信装置100は、不正なECUを検出した場合には、不正なECUを除外し、残された有効な車両搭載機能を判定し、判定結果をユーザに表示する。
車両通信装置100は、プロセッサ801とメモリ802と補助記憶装置803と通信装置804と表示機器805といったハードウェアを備えるコンピュータである。
車両通信装置100は、車両200のECUの正当性を認証する。また、車両通信装置100は、不正なECUを検出した場合には、不正なECUを除外し、残された有効な車両搭載機能を判定し、判定結果をユーザに表示する。
車両通信装置100は、プロセッサ801とメモリ802と補助記憶装置803と通信装置804と表示機器805といったハードウェアを備えるコンピュータである。
プロセッサ801は、信号線を介して他のハードウェアと接続されている。プロセッサ801は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。具体的には、プロセッサ801は、CPU、DSPまたはGPUである。CPUはCentral Processing Unitの略称であり、DSPはDigital Signal Processorの略称であり、GPUはGraphics Processing Unitの略称である。
メモリ802は揮発性の記憶装置である。メモリ802は、主記憶装置またはメインメモリとも呼ばれる。具体的には、メモリ802はRAM(Random Access Memory)である。
補助記憶装置803は不揮発性の記憶装置である。具体的には、補助記憶装置803は、ROM、HDDまたはフラッシュメモリである。ROMはRead Only Memoryの略称であり、HDDはHard Disk Driveの略称である。
通信装置804は、通信を行う装置であり、レシーバとトランスミッタとを備える。具体的には、通信装置804は通信チップまたはNIC(Network Interface Card)である。
表示機器805は、画像等を表示する表示装置である。具体的には、表示機器805は液晶ディスプレイである。表示機器805はモニタともいう。
補助記憶装置803は不揮発性の記憶装置である。具体的には、補助記憶装置803は、ROM、HDDまたはフラッシュメモリである。ROMはRead Only Memoryの略称であり、HDDはHard Disk Driveの略称である。
通信装置804は、通信を行う装置であり、レシーバとトランスミッタとを備える。具体的には、通信装置804は通信チップまたはNIC(Network Interface Card)である。
表示機器805は、画像等を表示する表示装置である。具体的には、表示機器805は液晶ディスプレイである。表示機器805はモニタともいう。
車両通信装置100は、構成要素として、認証部101と判定部102と更新部103と鍵管理部110とを備える。認証部101と判定部102と更新部103と鍵管理部110の機能はソフトウェアで実現される。
補助記憶装置803には、認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムが記憶されている。認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムは、メモリ802にロードされて、プロセッサ801によって実行される。
さらに、補助記憶装置803にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ802にロードされて、プロセッサ801によって実行される。
つまり、プロセッサ801は、OSを実行しながら、認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムを実行する。
補助記憶装置803には、認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムが記憶されている。認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムは、メモリ802にロードされて、プロセッサ801によって実行される。
さらに、補助記憶装置803にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ802にロードされて、プロセッサ801によって実行される。
つまり、プロセッサ801は、OSを実行しながら、認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムを実行する。
認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムを実行して得られるデータは、メモリ802、補助記憶装置803、プロセッサ801内のレジスタまたはプロセッサ801内のキャッシュメモリといった記憶装置に記憶される。
なお、車両通信装置100が複数のプロセッサ801を備えて、複数のプロセッサ801が認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムを連携して実行してもよい。
メモリ802は、車両通信装置100で使用、生成、入出力または送受信されるデータが記憶される記憶部104として機能する。ただし、メモリ802以外の記憶装置が記憶部104として機能してもよい。
なお、車両通信装置100が複数のプロセッサ801を備えて、複数のプロセッサ801が認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムを連携して実行してもよい。
メモリ802は、車両通信装置100で使用、生成、入出力または送受信されるデータが記憶される記憶部104として機能する。ただし、メモリ802以外の記憶装置が記憶部104として機能してもよい。
通信装置804はデータを通信する通信部として機能する。通信装置804において、レシーバはデータを受信する受信部105として機能し、トランスミッタはデータを送信する送信部106として機能する。
表示機器805は画像等を表示する表示部107として機能する。
表示機器805は画像等を表示する表示部107として機能する。
認証部101と判定部102と更新部103と鍵管理部110の「部」は「処理」または「工程」に読み替えてもよい。認証部101と判定部102と更新部103と鍵管理部110の機能はファームウェアで実現してもよい。
認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムは、磁気ディスク、光ディスクまたはフラッシュメモリ等の不揮発性の記憶媒体に記憶することができる。
認証部101と判定部102と更新部103と鍵管理部110の機能を実現するプログラムは、磁気ディスク、光ディスクまたはフラッシュメモリ等の不揮発性の記憶媒体に記憶することができる。
図3を用いて、本実施の形態に係る車両200の構成について説明する。車両200は、互いに通信する少なくとも2つ以上のECU202が搭載されている車両である。少なくとも2つ以上のECU202は、CANあるいはFlexRayといった通信プロトコルに準拠した車載ネットワーク201を介して、互いに接続される。
ECU202は、CPU250、メモリ251、および通信装置254といったハードウェアを備える。メモリ251には、プログラム252とECU情報253とが記憶される。
ECU202は、CPU250、メモリ251、および通信装置254といったハードウェアを備える。メモリ251には、プログラム252とECU情報253とが記憶される。
図4を用いて、本実施の形態に係る認証管理装置300の構成について説明する。
認証管理装置300は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904と表示機器905と入力装置906といったハードウェアを備えるコンピュータである。プロセッサ901とメモリ902と補助記憶装置903と通信装置904と表示機器905については、車両通信装置100の備えるハードウェアと同様である。また、記憶部307、受信部308、送信部309、および表示部311についても、車両通信装置100の備える記憶部104、受信部105、送信部106、および表示部107と同様である。ただし、車両通信装置100は組込み機器向けのコンピュータであるのに対し、認証管理装置300はサーバとしての機能を果たすコンピュータである。よって、認証管理装置300は車両通信装置100よりはるかに計算能力の高いコンピュータである。
入力装置906は、入力を受け付ける受付部310として機能する。
認証管理装置300は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904と表示機器905と入力装置906といったハードウェアを備えるコンピュータである。プロセッサ901とメモリ902と補助記憶装置903と通信装置904と表示機器905については、車両通信装置100の備えるハードウェアと同様である。また、記憶部307、受信部308、送信部309、および表示部311についても、車両通信装置100の備える記憶部104、受信部105、送信部106、および表示部107と同様である。ただし、車両通信装置100は組込み機器向けのコンピュータであるのに対し、認証管理装置300はサーバとしての機能を果たすコンピュータである。よって、認証管理装置300は車両通信装置100よりはるかに計算能力の高いコンピュータである。
入力装置906は、入力を受け付ける受付部310として機能する。
認証管理装置300は、構成要素として、更新データ処理部301と構成データ生成部302と機能相関生成部303とテーブル管理部306と鍵管理部320とを備える。
図5は、本実施の形態に係るECU情報テーブル620の詳細を示した例である。
ECU情報621は、ECUの属性を表す属性情報20の例である。ECU情報テーブル620には複数のECU情報621が含まれる。複数のECU情報621は、各ECU情報621を識別するECU識別IDで管理される。ECU情報621には、ECUの属性として、ECU識別ID、ECU情報の名称、メーカー情報、ベンダ情報、ハードウェア番号、バージョン、機能分類、関連車載機能、関連ECU入出力といった情報が含まれる。
ECU情報621は、ECUの属性を表す属性情報20の例である。ECU情報テーブル620には複数のECU情報621が含まれる。複数のECU情報621は、各ECU情報621を識別するECU識別IDで管理される。ECU情報621には、ECUの属性として、ECU識別ID、ECU情報の名称、メーカー情報、ベンダ情報、ハードウェア番号、バージョン、機能分類、関連車載機能、関連ECU入出力といった情報が含まれる。
図6は、本実施の形態に係る構成データテーブル610の詳細を示した例である。
構成データテーブル610は、複数の構成データ情報611から成る。構成データ情報611は、各ECUに、各ECUの属性を表すECU情報から生成された構成データ601を対応付けた情報である。構成データ601は、具体的には、デジタル署名である。
複数の構成データ情報611は、各構成データ情報611を識別する構成識別IDで管理される。構成データ情報611には、構成識別ID、ヘッダ情報、ECU情報の名称、ECU情報から算出されたデジタル署名といった情報が含まれる。構成データ情報611には、ECU情報の名称を1つ以上含む。図7では、構成データ情報611には、ECU情報AとECU情報Bの各々のECU情報621から算出された構成データ601が設定されている。
構成データテーブル610は、複数の構成データ情報611から成る。構成データ情報611は、各ECUに、各ECUの属性を表すECU情報から生成された構成データ601を対応付けた情報である。構成データ601は、具体的には、デジタル署名である。
複数の構成データ情報611は、各構成データ情報611を識別する構成識別IDで管理される。構成データ情報611には、構成識別ID、ヘッダ情報、ECU情報の名称、ECU情報から算出されたデジタル署名といった情報が含まれる。構成データ情報611には、ECU情報の名称を1つ以上含む。図7では、構成データ情報611には、ECU情報AとECU情報Bの各々のECU情報621から算出された構成データ601が設定されている。
図7は、本実施の形態に係る機能相関テーブル640の詳細を示した例である。
機能相関テーブル640は、車両200において実現される車両搭載機能と車両搭載機能の実現に用いられるECUとの相関を表している。車両搭載機能は、車両200に搭載された機能である。車両搭載機能の具体例は、自動運転、ACC、LKAS、LDW、駐車支援、あるいは自動ブレーキといった機能である。ACCは、アダプティブクルーズコントロールである。LKASは、車線維持支援システムである。LDWは、車線逸脱警告である。
機能相関テーブル640には、ECUの欄と、車両搭載機能の欄とが設けられる。ECUの欄には、各ECUを識別するECU識別IDと、各ECUの用途を表す分類と、各ECUのバージョンとが設定される。また、車両搭載機能の欄は、機能ごとの欄が設けられ、当該機能に必要なECUにチェックマークが設定される。
機能相関テーブル640は、車両200において実現される車両搭載機能と車両搭載機能の実現に用いられるECUとの相関を表している。車両搭載機能は、車両200に搭載された機能である。車両搭載機能の具体例は、自動運転、ACC、LKAS、LDW、駐車支援、あるいは自動ブレーキといった機能である。ACCは、アダプティブクルーズコントロールである。LKASは、車線維持支援システムである。LDWは、車線逸脱警告である。
機能相関テーブル640には、ECUの欄と、車両搭載機能の欄とが設けられる。ECUの欄には、各ECUを識別するECU識別IDと、各ECUの用途を表す分類と、各ECUのバージョンとが設定される。また、車両搭載機能の欄は、機能ごとの欄が設けられ、当該機能に必要なECUにチェックマークが設定される。
***動作の説明***
次に、車載認証システム10による車載認証方法について説明する。車載認証システム10の動作は車載認証方法に相当する。また、車載認証方法の手順は車載認証プログラムによる車載認証処理の手順に相当する。
本実施の形態において、車載認証処理は、車両通信装置100による機能管理処理と、認証管理装置300による認証管理処理とを有する。
次に、車載認証システム10による車載認証方法について説明する。車載認証システム10の動作は車載認証方法に相当する。また、車載認証方法の手順は車載認証プログラムによる車載認証処理の手順に相当する。
本実施の形態において、車載認証処理は、車両通信装置100による機能管理処理と、認証管理装置300による認証管理処理とを有する。
車両通信装置100の動作は機能管理方法に相当する。また、機能管理方法の手順は機能管理プログラムによる機能管理処理の手順に相当する。以下では、図8から図19を用いて、車両通信装置100の動作を説明する。
なお、構成データテーブル610と機能相関テーブル640と後述する認証エラーテーブル631とは補助記憶装置803に格納されている。機能管理処理が開始されると、構成データテーブル610と機能相関テーブル640と認証エラーテーブル631とは、記憶部104に記憶される。また、ECU識別IDごとの署名検証用の鍵は補助記憶装置803に格納されている。機能管理処理が開始されると、ECU識別IDごとの署名検証用の鍵は、鍵管理部110により記憶部104に記憶される。
なお、構成データテーブル610と機能相関テーブル640と後述する認証エラーテーブル631とは補助記憶装置803に格納されている。機能管理処理が開始されると、構成データテーブル610と機能相関テーブル640と認証エラーテーブル631とは、記憶部104に記憶される。また、ECU識別IDごとの署名検証用の鍵は補助記憶装置803に格納されている。機能管理処理が開始されると、ECU識別IDごとの署名検証用の鍵は、鍵管理部110により記憶部104に記憶される。
<機能管理処理>
図8を用いて、本実施の形態に係る機能管理処理の手順について説明する。
ステップS100では認証部101により認証処理が実行される。
ステップS100において、認証部101は、複数のECUの各ECUについて構成の正当性を認証する構成認証を実行し、構成認証が失敗したECUを認証エラーリスト630に登録する。具体的には、認証部101は、複数のECUの各ECUから、ECUの属性を表すECU情報を取得し、ECU情報に基づいてECUの署名を算出する。認証部101は、署名と構成データテーブル610に含まれる構成データ601とを比較する。そして、認証部101は、署名と構成データ601とが一致する場合にECUの構成認証を成功とする。
図8を用いて、本実施の形態に係る機能管理処理の手順について説明する。
ステップS100では認証部101により認証処理が実行される。
ステップS100において、認証部101は、複数のECUの各ECUについて構成の正当性を認証する構成認証を実行し、構成認証が失敗したECUを認証エラーリスト630に登録する。具体的には、認証部101は、複数のECUの各ECUから、ECUの属性を表すECU情報を取得し、ECU情報に基づいてECUの署名を算出する。認証部101は、署名と構成データテーブル610に含まれる構成データ601とを比較する。そして、認証部101は、署名と構成データ601とが一致する場合にECUの構成認証を成功とする。
<<認証処理>>
図9を用いて、本実施の形態に係る認証処理の手順について説明する。
ステップS101において、認証部101は、1つのECUあるいは複数のECUについて、認証メカニズムを利用して機器認証を行う。具体的には、認証部101は、ISO/IECで国際標準技術となっているプロトコルであるISO/IEC9798を利用して機器認証を行う。あるいは、認証部101は、認証メカニズムと合わせて、不正機器を検出するような物理的な機器認証を行ってもよい。
ステップS102において、認証部101は、機器認証の結果を判定する。機器認証が成功した場合には、認証部101は、ステップS103に進む。機器認証が失敗した場合には、認証部101は、ステップS106に進み、機器認証が失敗したECUを認証エラーリスト630に記録する。なお、認証エラーリスト630は、認証処理の開始前に初期化される。
図9を用いて、本実施の形態に係る認証処理の手順について説明する。
ステップS101において、認証部101は、1つのECUあるいは複数のECUについて、認証メカニズムを利用して機器認証を行う。具体的には、認証部101は、ISO/IECで国際標準技術となっているプロトコルであるISO/IEC9798を利用して機器認証を行う。あるいは、認証部101は、認証メカニズムと合わせて、不正機器を検出するような物理的な機器認証を行ってもよい。
ステップS102において、認証部101は、機器認証の結果を判定する。機器認証が成功した場合には、認証部101は、ステップS103に進む。機器認証が失敗した場合には、認証部101は、ステップS106に進み、機器認証が失敗したECUを認証エラーリスト630に記録する。なお、認証エラーリスト630は、認証処理の開始前に初期化される。
図10は、本実施の形態に係る認証エラーリスト630の例を示す図である。
認証エラーリスト630には、行の番号を表す番号と、エラーが発生した日時と、エラーとなった不正なECUのECI識別IDと、エラーの内容を表すエラーIDといった情報が設定される。
図11は、本実施の形態に係る認証エラーテーブル631の例を示す図である。
認証エラーテーブル631には、エラーIDと、そのエラーIDが表すエラーの内容の説明とが設定されている。
認証エラーリスト630には、行の番号を表す番号と、エラーが発生した日時と、エラーとなった不正なECUのECI識別IDと、エラーの内容を表すエラーIDといった情報が設定される。
図11は、本実施の形態に係る認証エラーテーブル631の例を示す図である。
認証エラーテーブル631には、エラーIDと、そのエラーIDが表すエラーの内容の説明とが設定されている。
ステップS103において、認証部101は、機器認証が成功したECUからECU情報253を取得し、ステップS104に進む。なお、ECUから取得するECU情報253の構成は、図5で説明したECU情報621の構成を同様である。
<<<構成認証処理>>>
ステップS104では構成認証処理が実行される。
ステップS104において、認証部101は、機器認証が成功したECUから取得したECU情報253から構成データを生成する。そして、認証部101は、生成した構成データを、構成データテーブル610と照合する。
ステップS104では構成認証処理が実行される。
ステップS104において、認証部101は、機器認証が成功したECUから取得したECU情報253から構成データを生成する。そして、認証部101は、生成した構成データを、構成データテーブル610と照合する。
図12を用いて、本実施の形態に係る構成認証処理の詳細手順について説明する。
ステップS141において、認証部101は、ECU情報253から得られたECU識別IDをもとに鍵管理部110を介して記憶部104から署名検証用の鍵を取得する。
ステップS142において、認証部101は、ECU情報253と署名検証用の鍵とを用いて構成データを生成する。具体的には、認証部101は、ECU情報253と署名検証用の鍵とから署名を算出する。ここで算出された署名が構成データである。
ステップS143において、認証部101は、ECU情報253をもとに、記憶部104に記憶された構成データテーブル610から構成データ情報611を抽出する。認証部101は、抽出された構成データ情報611に含まれる構成データ601を期待値として取得する。
ステップS144において、認証部101は、ステップS142で算出した署名と、ステップS143で取得した期待値である構成データ601とを比較する。認証部101は、ステップS142で算出した署名と、ステップS143で取得した構成データ601とを比較し、両者が一致するかどうかの比較結果を得る。
ステップS141において、認証部101は、ECU情報253から得られたECU識別IDをもとに鍵管理部110を介して記憶部104から署名検証用の鍵を取得する。
ステップS142において、認証部101は、ECU情報253と署名検証用の鍵とを用いて構成データを生成する。具体的には、認証部101は、ECU情報253と署名検証用の鍵とから署名を算出する。ここで算出された署名が構成データである。
ステップS143において、認証部101は、ECU情報253をもとに、記憶部104に記憶された構成データテーブル610から構成データ情報611を抽出する。認証部101は、抽出された構成データ情報611に含まれる構成データ601を期待値として取得する。
ステップS144において、認証部101は、ステップS142で算出した署名と、ステップS143で取得した期待値である構成データ601とを比較する。認証部101は、ステップS142で算出した署名と、ステップS143で取得した構成データ601とを比較し、両者が一致するかどうかの比較結果を得る。
図9に戻り説明を続ける。
ステップ105において、認証部101は、構成認証処理により出力された比較結果に基づいて、構成認証が成功か否かを判定する。認証部101は、比較結果が一致の場合は構成認証が成功と判定する。認証部101は、比較結果が不一致の場合は構成認証が失敗と判定する。認証部101は、構成認証が成功であればステップS107に進み、構成認証が失敗であればステップS106において構成認証が失敗したECUを認証エラーリスト630に記録する。
ステップS107において、認証部101は、すべてのECUに対してステップS101からステップS106までの処理を終了したかを判定する。認証部101は、終了していないECUがある場合、ステップS101に戻る。認証部101は、終了していないECUがない場合、認証処理を終了する。
ステップ105において、認証部101は、構成認証処理により出力された比較結果に基づいて、構成認証が成功か否かを判定する。認証部101は、比較結果が一致の場合は構成認証が成功と判定する。認証部101は、比較結果が不一致の場合は構成認証が失敗と判定する。認証部101は、構成認証が成功であればステップS107に進み、構成認証が失敗であればステップS106において構成認証が失敗したECUを認証エラーリスト630に記録する。
ステップS107において、認証部101は、すべてのECUに対してステップS101からステップS106までの処理を終了したかを判定する。認証部101は、終了していないECUがある場合、ステップS101に戻る。認証部101は、終了していないECUがない場合、認証処理を終了する。
<<判定処理>>
図8に戻り、ステップS300から説明を続ける。
ステップS300では判定部102により判定処理が実行される。
ステップS300では、判定部102は、機能相関テーブル640と認証エラーリスト630とに基づいて、車両において実現可能な車両搭載機能を判定する。また、判定部102は、認証エラーリスト630に登録されているECUを車載ネットワーク201から切り離す。
図8に戻り、ステップS300から説明を続ける。
ステップS300では判定部102により判定処理が実行される。
ステップS300では、判定部102は、機能相関テーブル640と認証エラーリスト630とに基づいて、車両において実現可能な車両搭載機能を判定する。また、判定部102は、認証エラーリスト630に登録されているECUを車載ネットワーク201から切り離す。
図13を用いて、本実施の形態に係る判定処理について説明する。
ステップS301において、判定部102は、記憶部104から認証エラーリスト630を取得する。
ステップS302において、判定部102は、認証エラーリスト630にECUが登録されているか否かを判定する。判定部102は、認証エラーリスト630に登録されていなければ認証エラーのECUがないことを意味するので、認証成功として、処理を終了する。判定部102は、認証エラーリスト630にECUが登録されていれば認証エラーのECUがあることを意味するので、認証失敗として、ステップS303に進む。
ステップS303では、判定部102は、認証エラーとなった不正なECUを車載ネットワーク201から論理的に切り離して排除する。ここで、排除の具体的な方法として、不正なECUが発信する通信フレームを他のECUが無視することで論理的に切り離す方法がある。
ステップS301において、判定部102は、記憶部104から認証エラーリスト630を取得する。
ステップS302において、判定部102は、認証エラーリスト630にECUが登録されているか否かを判定する。判定部102は、認証エラーリスト630に登録されていなければ認証エラーのECUがないことを意味するので、認証成功として、処理を終了する。判定部102は、認証エラーリスト630にECUが登録されていれば認証エラーのECUがあることを意味するので、認証失敗として、ステップS303に進む。
ステップS303では、判定部102は、認証エラーとなった不正なECUを車載ネットワーク201から論理的に切り離して排除する。ここで、排除の具体的な方法として、不正なECUが発信する通信フレームを他のECUが無視することで論理的に切り離す方法がある。
ステップS304において、判定部102は、機能相関テーブル640を用いて、ステップS303で排除したECUが係わる車両搭載機能を判定する。すなわち、判定部102は、車両200において実現可能な車両搭載機能を決定するとともに、無効とすべき車両搭載機能を決定する。
ステップS305では表示部311による表示処理が実行される。ステップS305において、表示部311は、車両200において実現可能と判定された車両搭載機能を車両通信装置の表示機器805に表示する。具体的には、表示部311は、表示機器805に、車両搭載機能の有効あるいは無効を表示する機能表示画面500を表示する。表示部311は、機能表示画面500を表示することにより、車両200の運転者に対して、車両搭載機能のうち無効となった機能とまだ有効である機能を区別して提示する。また、表示部311は、運転者に対し提供可能な車両搭載機能に増減が生じたことについての説明を表示してもよい。
ステップS305では表示部311による表示処理が実行される。ステップS305において、表示部311は、車両200において実現可能と判定された車両搭載機能を車両通信装置の表示機器805に表示する。具体的には、表示部311は、表示機器805に、車両搭載機能の有効あるいは無効を表示する機能表示画面500を表示する。表示部311は、機能表示画面500を表示することにより、車両200の運転者に対して、車両搭載機能のうち無効となった機能とまだ有効である機能を区別して提示する。また、表示部311は、運転者に対し提供可能な車両搭載機能に増減が生じたことについての説明を表示してもよい。
図14は、本実施の形態に係る機能相関テーブル640の具体例を示す図である。また、図15は、本実施の形態に係る機能表示画面500を示す図である。
図14および図15を用いて、判定処理の具体例について説明する。
図14に示すように、認証エラーとなった不正なECUが、ECU_Dの後側ソナーであるとする。このとき、判定部102は、ECU_Dに関連する車両搭載機能は、自動運転、駐車支援、および後側方車両検知警報であると判定する。したがって、表示部311は、図15に示すように、機能表示画面500において、自動運転、駐車支援、および後側方車両検知警報が無効になったことを示す。また、表示部311は、機能表示画面500のメッセージ欄に、ECU_Dの後側ソナーが認証エラーになったという説明を表示する。
図14および図15を用いて、判定処理の具体例について説明する。
図14に示すように、認証エラーとなった不正なECUが、ECU_Dの後側ソナーであるとする。このとき、判定部102は、ECU_Dに関連する車両搭載機能は、自動運転、駐車支援、および後側方車両検知警報であると判定する。したがって、表示部311は、図15に示すように、機能表示画面500において、自動運転、駐車支援、および後側方車両検知警報が無効になったことを示す。また、表示部311は、機能表示画面500のメッセージ欄に、ECU_Dの後側ソナーが認証エラーになったという説明を表示する。
図8に戻り、ステップS400から説明を続ける。
ステップS400において、更新部103は、通信装置804の受信部105が認証管理装置300から更新の通知を受信しているかを判定する。更新部103は、更新の通知がある場合、ステップS600に進む。更新部103は、更新の通知がない場合、処理を終了する。
ステップS400において、更新部103は、通信装置804の受信部105が認証管理装置300から更新の通知を受信しているかを判定する。更新部103は、更新の通知がある場合、ステップS600に進む。更新部103は、更新の通知がない場合、処理を終了する。
図16は、本実施の形態に係る更新情報650の構成を示す図である。
更新情報650には、ECU更新情報651と、テーブル更新情報652とが含まれる。
ECU更新情報651では、ECUごとのテーブルに、当該ECUを表すヘッダ情報511と、ECU情報の変更部分、すなわち変更前のECU情報との差分であるECU差分情報512と、更新ソフトウェア513とが設定される。
テーブル更新情報652には、構成データテーブルの更新内容、すなわち変更前の構成データテーブルとの差分である構成データ差分521が設定される。また、テーブル更新情報652には、機能相関テーブルの更新内容、すなわち変更前の機能相関テーブルとの差分である機能相関差分522が設定される。
更新部103は、更新情報650を受信した場合に、更新の通知を受信したと判定する。
更新情報650には、ECU更新情報651と、テーブル更新情報652とが含まれる。
ECU更新情報651では、ECUごとのテーブルに、当該ECUを表すヘッダ情報511と、ECU情報の変更部分、すなわち変更前のECU情報との差分であるECU差分情報512と、更新ソフトウェア513とが設定される。
テーブル更新情報652には、構成データテーブルの更新内容、すなわち変更前の構成データテーブルとの差分である構成データ差分521が設定される。また、テーブル更新情報652には、機能相関テーブルの更新内容、すなわち変更前の機能相関テーブルとの差分である機能相関差分522が設定される。
更新部103は、更新情報650を受信した場合に、更新の通知を受信したと判定する。
<<更新処理>>
ステップS600では更新部103により更新処理が実行される。
図17を用いて、本実施の形態に係る更新処理の手順について説明する。
ステップS610において、更新部103は、受信部105を介して、更新情報650を受信する。
ステップS620では更新部103によりソフトウェア更新処理が実行される。
続いて、ステップS630では更新部103によりテーブル更新処理が実行される。
ステップS600では更新部103により更新処理が実行される。
図17を用いて、本実施の形態に係る更新処理の手順について説明する。
ステップS610において、更新部103は、受信部105を介して、更新情報650を受信する。
ステップS620では更新部103によりソフトウェア更新処理が実行される。
続いて、ステップS630では更新部103によりテーブル更新処理が実行される。
図18を用いて、本実施の形態に係るソフトウェア更新処理の手順について説明する。
ステップS621において、更新部103は、更新情報650に更新ソフトウェア513が含まれるか否かを判定する。更新情報650に更新ソフトウェア513が含まれる場合、更新部103はステップS622に進む。更新情報650に更新ソフトウェア513が含まれない場合、更新部103は処理を終了する。
ステップS622において、更新部103は、更新情報650のヘッダ情報511から更新対象のECUを決定する。更新部103は、送信部106により、更新対象のECUへ車載ネットワーク201を通してECU差分情報512および更新ソフトウェア513を配信する。更新部103は、更新対象であるすべてのECUへ、ECU差分情報512および更新ソフトウェア513を配信すると、処理を終了する。ECUへ配信する更新情報は、差分情報のみが送られる。
ステップS621において、更新部103は、更新情報650に更新ソフトウェア513が含まれるか否かを判定する。更新情報650に更新ソフトウェア513が含まれる場合、更新部103はステップS622に進む。更新情報650に更新ソフトウェア513が含まれない場合、更新部103は処理を終了する。
ステップS622において、更新部103は、更新情報650のヘッダ情報511から更新対象のECUを決定する。更新部103は、送信部106により、更新対象のECUへ車載ネットワーク201を通してECU差分情報512および更新ソフトウェア513を配信する。更新部103は、更新対象であるすべてのECUへ、ECU差分情報512および更新ソフトウェア513を配信すると、処理を終了する。ECUへ配信する更新情報は、差分情報のみが送られる。
図19を用いて、本実施の形態に係るテーブル更新処理の手順について説明する。
ステップS631において、更新部103は、更新情報650に構成データ差分521が含まれるか否かを判定する。更新情報650に構成データ差分521が含まれる場合、更新部103はステップS632に進む。更新情報650に構成データ差分521が含まれない場合、更新部103はステップS633に進む。
ステップS632において、更新部103は、構成データ差分521を用いて、補助記憶装置803の構成データテーブル610を更新する。
ステップS633において、更新部103は、更新情報650に機能相関差分522が含まれるか否かを判定する。更新情報650に機能相関差分522が含まれる場合、更新部103はステップS634に進む。更新情報650に機能相関差分522が含まれない場合、更新部103は処理を終了する。
ステップS634において、更新部103は、機能相関差分522を用いて、補助記憶装置803の機能相関テーブル640を更新する。なお、更新部103は、更新情報650を参照し、更新によりECUの機能に変化があることが分かれば、ステップS634において、機能相関テーブル640を更新するとしてもよい。
ステップS631において、更新部103は、更新情報650に構成データ差分521が含まれるか否かを判定する。更新情報650に構成データ差分521が含まれる場合、更新部103はステップS632に進む。更新情報650に構成データ差分521が含まれない場合、更新部103はステップS633に進む。
ステップS632において、更新部103は、構成データ差分521を用いて、補助記憶装置803の構成データテーブル610を更新する。
ステップS633において、更新部103は、更新情報650に機能相関差分522が含まれるか否かを判定する。更新情報650に機能相関差分522が含まれる場合、更新部103はステップS634に進む。更新情報650に機能相関差分522が含まれない場合、更新部103は処理を終了する。
ステップS634において、更新部103は、機能相関差分522を用いて、補助記憶装置803の機能相関テーブル640を更新する。なお、更新部103は、更新情報650を参照し、更新によりECUの機能に変化があることが分かれば、ステップS634において、機能相関テーブル640を更新するとしてもよい。
以上で、車両通信装置100による機能管理処理の説明を終わる。
次に、本実施の形態に係る認証管理装置300の動作について説明する。認証管理装置300は、具体的には、車両200の外部に存在するサーバである。あるいは、認証管理装置300は、車両200の外部に存在するサーバの一部である。
図20は、本実施の形態に係る認証管理装置300の補助記憶装置903の構成を示す図である。図20に示すように、補助記憶装置903には、ECU情報テーブル620、構成データテーブル610、機能相関テーブル640が記憶される。
図20は、本実施の形態に係る認証管理装置300の補助記憶装置903の構成を示す図である。図20に示すように、補助記憶装置903には、ECU情報テーブル620、構成データテーブル610、機能相関テーブル640が記憶される。
以下では、図21から図23を用いて、認証管理装置300の動作を説明する。認証管理装置300の動作は認証管理方法に相当する。また、認証管理方法の手順は認証管理プログラムによる認証管理処理の手順に相当する。
なお、構成データテーブル610と機能相関テーブル640と後述する認証エラーテーブル631とは補助記憶装置903に格納されている。認証管理処理が開始されると、構成データテーブル610と機能相関テーブル640と認証エラーテーブル631とは、記憶部307に記憶される。また、ECU識別IDごとの署名検証用の鍵は補助記憶装置903に格納されている。認証管理処理が開始されると、ECU識別IDごとの署名検証用の鍵は、鍵管理部320により記憶部307に記憶される。
なお、構成データテーブル610と機能相関テーブル640と後述する認証エラーテーブル631とは補助記憶装置903に格納されている。認証管理処理が開始されると、構成データテーブル610と機能相関テーブル640と認証エラーテーブル631とは、記憶部307に記憶される。また、ECU識別IDごとの署名検証用の鍵は補助記憶装置903に格納されている。認証管理処理が開始されると、ECU識別IDごとの署名検証用の鍵は、鍵管理部320により記憶部307に記憶される。
<認証管理処理>
図21を用いて、本実施の形態に係る認証管理処理の手順について説明する。
ステップS700において、更新データ処理部301は、ベンダサーバ装置400からの更新があるか否かを判定する。更新データ処理部301が受信部308を介してECU更新情報651を受信した場合、ベンダサーバ装置400からの更新があることを意味する。更新データ処理部301は、ベンダサーバ装置400からの更新がある場合、ステップS710に進む。更新データ処理部301は、ECU更新情報651を受信していない場合、ベンダサーバ装置400からの更新がないことを意味するので、処理を終了する。
なお、ECU更新情報651は、複数のECUの各ECUに関する変更を表す装置変更情報の例である。
図21を用いて、本実施の形態に係る認証管理処理の手順について説明する。
ステップS700において、更新データ処理部301は、ベンダサーバ装置400からの更新があるか否かを判定する。更新データ処理部301が受信部308を介してECU更新情報651を受信した場合、ベンダサーバ装置400からの更新があることを意味する。更新データ処理部301は、ベンダサーバ装置400からの更新がある場合、ステップS710に進む。更新データ処理部301は、ECU更新情報651を受信していない場合、ベンダサーバ装置400からの更新がないことを意味するので、処理を終了する。
なお、ECU更新情報651は、複数のECUの各ECUに関する変更を表す装置変更情報の例である。
<<構成データ生成処理>>
ステップS710では構成データ生成処理が実行される。
ステップS710では、構成データ生成部302は、複数のECUの各ECUに関する変更を表すECU更新情報651を受け取ると、ECU更新情報651に基づいて、構成データテーブル610を更新する。
ステップS710では構成データ生成処理が実行される。
ステップS710では、構成データ生成部302は、複数のECUの各ECUに関する変更を表すECU更新情報651を受け取ると、ECU更新情報651に基づいて、構成データテーブル610を更新する。
図22を用いて、本実施の形態に係る構成データ生成処理の手順について説明する。
ステップS711において、構成データ生成部302は、ECU更新情報651の中からヘッダ情報511とECU差分情報512を取得する。ヘッダ情報511には、更新対象のECUのECU識別IDが含まれる。
ステップS712において、構成データ生成部302は、ヘッダ情報511に含まれるECU識別IDに対応するECUのECU情報を、ECU情報テーブル620から抽出する。
ステップS713において、構成データ生成部302は、抽出したECU情報に含まれるベンダ情報を取得する。構成データ生成部302は、ベンダ情報に設定されたベンダIDに紐付けられた署名用の鍵を、鍵管理部320から取得する。
ステップS714において、構成データ生成部302は、鍵管理部320から取得した鍵と、ECU情報テーブル620から抽出したECU情報と、ECU差分情報512とに基づいて、新たなデジタル署名を算出する。具体的には、構成データ生成部302は、1個あるいは複数のECUのECU情報に対して、取得した鍵を用いてデジタル署名を算出する。構成データ生成部302は、1個あるいは複数のECUのECU情報に基づいて、構成データ情報611を生成し、算出したデジタル署名を構成データ601として構成データ情報611に付与し、新たな構成データ情報611を生成する。
ステップS715において、テーブル管理部306は、構成データ生成部302により生成された新たな構成データ情報611を構成データテーブル610に登録する。これにより、構成データテーブル610が更新される。
ステップS711において、構成データ生成部302は、ECU更新情報651の中からヘッダ情報511とECU差分情報512を取得する。ヘッダ情報511には、更新対象のECUのECU識別IDが含まれる。
ステップS712において、構成データ生成部302は、ヘッダ情報511に含まれるECU識別IDに対応するECUのECU情報を、ECU情報テーブル620から抽出する。
ステップS713において、構成データ生成部302は、抽出したECU情報に含まれるベンダ情報を取得する。構成データ生成部302は、ベンダ情報に設定されたベンダIDに紐付けられた署名用の鍵を、鍵管理部320から取得する。
ステップS714において、構成データ生成部302は、鍵管理部320から取得した鍵と、ECU情報テーブル620から抽出したECU情報と、ECU差分情報512とに基づいて、新たなデジタル署名を算出する。具体的には、構成データ生成部302は、1個あるいは複数のECUのECU情報に対して、取得した鍵を用いてデジタル署名を算出する。構成データ生成部302は、1個あるいは複数のECUのECU情報に基づいて、構成データ情報611を生成し、算出したデジタル署名を構成データ601として構成データ情報611に付与し、新たな構成データ情報611を生成する。
ステップS715において、テーブル管理部306は、構成データ生成部302により生成された新たな構成データ情報611を構成データテーブル610に登録する。これにより、構成データテーブル610が更新される。
<<機能相関生成処理>>
ステップS720では機能相関生成処理が実行される。
ステップS720では、機能相関生成部303は、複数のECUの各ECUに関する変更を表すECU更新情報651に基づいて、機能相関テーブル640を更新する。
ステップS720では機能相関生成処理が実行される。
ステップS720では、機能相関生成部303は、複数のECUの各ECUに関する変更を表すECU更新情報651に基づいて、機能相関テーブル640を更新する。
図23を用いて、本実施の形態に係る機能相関生成処理の手順について説明する。
ステップS721において、機能相関生成部303は、ECU更新情報651の中からヘッダ情報511とECU差分情報512を取得する。ヘッダ情報511には、更新対象のECUのECU識別IDが含まれる。
ステップS722において、機能相関生成部303は、ヘッダ情報511に含まれるECU識別IDに対応するECUのECU情報を、ECU情報テーブル620から抽出する。機能相関生成部303は、抽出した更新対象のECU情報621から得られたECU機能の変更の情報を元に機能相関テーブル640を更新する。以下に、機能相関テーブル640の更新の具体的な処理の一例について説明する。ECU変更情報651には、機能相関テーブル640の1行、すなわち横軸に関する情報が含まれている。具体例として、図7の機能相関テーブル640において、ECU識別ID=3が機能1、機能3、および機能4に関係する状態から、新たに機能5にも関係するようになったことがECU変更情報651により通知される。このECU変更情報651により、機能相関テーブル640に機能5が追加され、ECU識別ID=3の機能5にチェックが入る。
ステップS721において、機能相関生成部303は、ECU更新情報651の中からヘッダ情報511とECU差分情報512を取得する。ヘッダ情報511には、更新対象のECUのECU識別IDが含まれる。
ステップS722において、機能相関生成部303は、ヘッダ情報511に含まれるECU識別IDに対応するECUのECU情報を、ECU情報テーブル620から抽出する。機能相関生成部303は、抽出した更新対象のECU情報621から得られたECU機能の変更の情報を元に機能相関テーブル640を更新する。以下に、機能相関テーブル640の更新の具体的な処理の一例について説明する。ECU変更情報651には、機能相関テーブル640の1行、すなわち横軸に関する情報が含まれている。具体例として、図7の機能相関テーブル640において、ECU識別ID=3が機能1、機能3、および機能4に関係する状態から、新たに機能5にも関係するようになったことがECU変更情報651により通知される。このECU変更情報651により、機能相関テーブル640に機能5が追加され、ECU識別ID=3の機能5にチェックが入る。
図21に戻り、ステップS730から説明する。
ステップS730において、更新データ処理部301は、構成データテーブル610における更新前と更新後の差分である構成データ差分521を生成する。また、更新データ処理部301は、機能相関テーブル640における更新前と更新後の差分である機能相関差分522を生成する。更新データ処理部301は、構成データ差分521と機能相関差分522とを含む更新情報650を生成する。そして、更新データ処理部301は、更新情報650を、車両200の車両通信装置100に送信する。
ステップS730において、更新データ処理部301は、構成データテーブル610における更新前と更新後の差分である構成データ差分521を生成する。また、更新データ処理部301は、機能相関テーブル640における更新前と更新後の差分である機能相関差分522を生成する。更新データ処理部301は、構成データ差分521と機能相関差分522とを含む更新情報650を生成する。そして、更新データ処理部301は、更新情報650を、車両200の車両通信装置100に送信する。
***他の構成***
<変形例1>
車両通信装置100の認証部が認証管理装置300に搭載されていてもよい。そして、認証管理装置300は認証処理の一部を実施する構成としてもよい。この場合、車両通信装置100の認証部は、ECUからECU情報を取得し、認証管理装置300に送る。認証管理装置300は、受信したECU情報に基づいて構成認証を実施し、認証エラーリストを車両に送信する。
<変形例1>
車両通信装置100の認証部が認証管理装置300に搭載されていてもよい。そして、認証管理装置300は認証処理の一部を実施する構成としてもよい。この場合、車両通信装置100の認証部は、ECUからECU情報を取得し、認証管理装置300に送る。認証管理装置300は、受信したECU情報に基づいて構成認証を実施し、認証エラーリストを車両に送信する。
<変形例2>
車両通信装置100の判定部が認証管理装置300に搭載されていてもよい。そして、認証管理装置300は、認証処理の一部を実施する構成としてもよい。この場合、車両通信装置100の判定部は、認証エラーリストを認証管理装置300に送信する。そして、認証管理装置300は、車両で実施可能な車両搭載機能を判定し、その判定結果を車両に送信する。
車両通信装置100の判定部が認証管理装置300に搭載されていてもよい。そして、認証管理装置300は、認証処理の一部を実施する構成としてもよい。この場合、車両通信装置100の判定部は、認証エラーリストを認証管理装置300に送信する。そして、認証管理装置300は、車両で実施可能な車両搭載機能を判定し、その判定結果を車両に送信する。
<変形例3>
認証管理装置300の構成データ生成部が車両通信装置100に搭載されていてもよい。そして、車両通信装置100は、構成データ生成処理の一部を実施する構成としてもよい。この場合、車両通信装置100は、更新ECU情報から期待値である構成データを生成し、構成データテーブルの更新を行う。
認証管理装置300の構成データ生成部が車両通信装置100に搭載されていてもよい。そして、車両通信装置100は、構成データ生成処理の一部を実施する構成としてもよい。この場合、車両通信装置100は、更新ECU情報から期待値である構成データを生成し、構成データテーブルの更新を行う。
<変形例4>
認証管理装置300の機能相関生成部303が車両通信装置100に搭載されていてもよい。そして、車両通信装置100は、機能相関生成処理の一部を実施する構成としてもよい。この場合、車両通信装置100は、更新ECU情報から機能相関テーブルを更新する。
認証管理装置300の機能相関生成部303が車両通信装置100に搭載されていてもよい。そして、車両通信装置100は、機能相関生成処理の一部を実施する構成としてもよい。この場合、車両通信装置100は、更新ECU情報から機能相関テーブルを更新する。
<変形例5>
車載認証システムでは、機密性を高めるために、認証管理装置300と車両通信装置100間で送受信されるデータを暗号化してもよい。あるいは、車載認証システムは、完全性を高めるために、認証管理装置300と車両通信装置100間で送受信されるデータに認証子を付与する暗号処理部を備えてもよい。
ECU情報から構成データを生成するために用いる暗号アルゴリズムとして、公開鍵暗号ベースの方法を用いてもよいし、秘密鍵暗号ベースの方法を用いてもよい。
車載認証システムでは、機密性を高めるために、認証管理装置300と車両通信装置100間で送受信されるデータを暗号化してもよい。あるいは、車載認証システムは、完全性を高めるために、認証管理装置300と車両通信装置100間で送受信されるデータに認証子を付与する暗号処理部を備えてもよい。
ECU情報から構成データを生成するために用いる暗号アルゴリズムとして、公開鍵暗号ベースの方法を用いてもよいし、秘密鍵暗号ベースの方法を用いてもよい。
<変形例6>
本実施の形態では、車両通信装置100と認証管理装置300との各装置の構成要素の機能がソフトウェアで実現されるが、変形例として、各装置の構成要素の機能がハードウェアで実現されてもよい。
本実施の形態では、車両通信装置100と認証管理装置300との各装置の構成要素の機能がソフトウェアで実現されるが、変形例として、各装置の構成要素の機能がハードウェアで実現されてもよい。
図24は、本実施の形態の変形例に係る車両通信装置100の構成を示す図である。図25は、本実施の形態の変形例に係る認証管理装置300の構成を示す図である。
車両通信装置100は、電子回路809と補助記憶装置803と通信装置804と表示機器805といったハードウェアを備える。また、認証管理装置300は、電子回路909と補助記憶装置903と通信装置904と表示機器905と入力装置906といったハードウェアを備える。
車両通信装置100は、電子回路809と補助記憶装置803と通信装置804と表示機器805といったハードウェアを備える。また、認証管理装置300は、電子回路909と補助記憶装置903と通信装置904と表示機器905と入力装置906といったハードウェアを備える。
電子回路809は、認証部101と判定部102と更新部103と鍵管理部110との機能を実現する専用の電子回路である。また、電子回路909は、更新データ処理部301と構成データ生成部302と機能相関生成部303とテーブル管理部306と鍵管理部320との機能を実現する専用の電子回路である。
電子回路809,909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
各装置の構成要素の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、各装置の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
電子回路809,909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
各装置の構成要素の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、各装置の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、車両通信装置100において、認証部101と判定部102と更新部103と鍵管理部110の機能は、プロセッシングサーキットリにより実現される。また、認証管理装置300において、更新データ処理部301と構成データ生成部302と機能相関生成部303とテーブル管理部306と鍵管理部320の機能は、プロセッシングサーキットリにより実現される。
車両通信装置100において、認証部101と判定部102と更新部103と鍵管理部110の「部」を「工程」に読み替えてもよい。また、認証管理装置300において、更新データ処理部301と構成データ生成部302と機能相関生成部303とテーブル管理部306と鍵管理部320の「部」を「工程」に読み替えてもよい。
また、車載認証処理、機能管理処理、および認証管理処理の「処理」を、「プログラム」、「プログラムプロダクト」または「プログラムを記録したコンピュータ読取可能な媒体」に読み替えてもよい。
また、車載認証処理、機能管理処理、および認証管理処理の「処理」を、「プログラム」、「プログラムプロダクト」または「プログラムを記録したコンピュータ読取可能な媒体」に読み替えてもよい。
***本実施の形態の効果の説明***
本実施の形態に係る車載認証システム10によれば、車両システム内の各ECUに対する構成認証を実施することで不正なECUを排除できる。また、本実施の形態に係る車載認証システム10によれば、機能変更に対応した構成認証の実施をすることができる。また、ECU相互の協調動作を考慮した車両搭載機能の提供ができる。
本実施の形態に係る車載認証システム10によれば、車両システム内の各ECUに対する構成認証を実施することで不正なECUを排除できる。また、本実施の形態に係る車載認証システム10によれば、機能変更に対応した構成認証の実施をすることができる。また、ECU相互の協調動作を考慮した車両搭載機能の提供ができる。
また、本実施の形態に係る車載認証システム10によれば、車載システムで構成認証を行うことにより正常な状態を確認でき、かつ、安全を確保した支援機能を提供することができる。すなわち、車載システムの構成認証を行うことで、不正なECUを検出し、不正なECUを除外した上で、残された有効な車両搭載機能を判断し、適切な対処方法を提供する。
よって、本実施の形態に係る車載認証システム10によれば、セキュリティ上の問題が解決されるまでの間、すなわちディーラーに車両を持って行き、その車両が直るまでの間、運転機能を一時的に制限するとしても、機能を過剰に遮断することはない。また、利用可能な車両搭載機能をユーザが把握した上で、支援機能を用いた安全な走行ができる。すなわち、本実施の形態に係る車載認証システム10によれば、車両の状態を確認しつつ、安全を確保した上で車両を使用することができる。
よって、本実施の形態に係る車載認証システム10によれば、セキュリティ上の問題が解決されるまでの間、すなわちディーラーに車両を持って行き、その車両が直るまでの間、運転機能を一時的に制限するとしても、機能を過剰に遮断することはない。また、利用可能な車両搭載機能をユーザが把握した上で、支援機能を用いた安全な走行ができる。すなわち、本実施の形態に係る車載認証システム10によれば、車両の状態を確認しつつ、安全を確保した上で車両を使用することができる。
実施の形態2.
本実施の形態では、実施の形態1とは異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
実施の形態1では、構成データ生成処理および機能相関処理は認証管理装置300で行い、更新情報が認証管理装置から車両200の車両通信装置100に送信される。そして、車両通信装置100では、認証処理と判定処理とを簡便に実行することができる。このように、実施の形態1では、認証処理と判定処理とを車両通信装置100で行っていたが、本実施の形態では、認証処理と判定処理とを認証管理装置300で行う構成について説明する。
本実施の形態では、実施の形態1とは異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
実施の形態1では、構成データ生成処理および機能相関処理は認証管理装置300で行い、更新情報が認証管理装置から車両200の車両通信装置100に送信される。そして、車両通信装置100では、認証処理と判定処理とを簡便に実行することができる。このように、実施の形態1では、認証処理と判定処理とを車両通信装置100で行っていたが、本実施の形態では、認証処理と判定処理とを認証管理装置300で行う構成について説明する。
***構成の説明***
図26は、本実施の形態に係る車載認証システム10の構成を示す図である。図26に示す通り、車載認証システム10の構成は、実施の形態1と同じである。ただし、車両通信装置100aと認証管理装置300aの機能が実施の形態1とは異なる。
図26は、本実施の形態に係る車載認証システム10の構成を示す図である。図26に示す通り、車載認証システム10の構成は、実施の形態1と同じである。ただし、車両通信装置100aと認証管理装置300aの機能が実施の形態1とは異なる。
図27は、本実施の形態に係る車両通信装置100aの構成を示す図である。車両通信装置100aは、認証部101、判定部102、および鍵管理部110を備えない。車両通信装置100aは、構成要素として、制御部111aを有する。制御部111aは、複数のECUの各々からECU情報を収集し、認証管理装置300aへ送信する。そして、制御部111aは、認証管理装置300aから、認証エラーリスト630と判定処理による判定結果とを受信する。表示部311は、認証エラーリスト630と判定結果とに基づいて、機能表示画面500を表示機器805に表示する。
図28は、本実施の形態に係る認証管理装置300aの構成を示す図である。認証管理装置300aは、実施の形態1で説明した構成要素に加えて、認証部304と判定部305とを備える。認証部304は、実施の形態1で説明した認証部101と同様の機能を有する。判定部305は、実施の形態1で説明した判定部102と同様の機能を有する。
***動作の説明***
本実施の形態では、認証処理および判定処理が認証管理装置300aにおいて実行される。また、それに伴い車両通信装置100aと認証管理装置300aとの間で、ECU情報、認証エラーリスト、および判定結果の送受信が行われる。その他の手順は実施の形態1と同じである。
本実施の形態では、認証処理および判定処理が認証管理装置300aにおいて実行される。また、それに伴い車両通信装置100aと認証管理装置300aとの間で、ECU情報、認証エラーリスト、および判定結果の送受信が行われる。その他の手順は実施の形態1と同じである。
***本実施の形態の効果の説明***
本実施の形態に係る車載認証システム10によれば、ECU情報テーブル、構成データテーブル、および機能相関テーブルを認証管理装置300aで管理することができる。よって、本実施の形態に係る車載認証システム10によれば、車両通信装置100aの記憶容量を減らすことができる。なお、本実施の形態では、車両が常に外部ネットワークに安定してセキュアに接続している状態であることが前提である。また、本実施の形態に係る車載認証システム10によれば、車両通信装置100aにおいて各種テーブルの更新処理、認証処理および判定処理を行う必要がないため、車両通信装置100aの負荷を軽減しコストを下げることができる。
本実施の形態に係る車載認証システム10によれば、ECU情報テーブル、構成データテーブル、および機能相関テーブルを認証管理装置300aで管理することができる。よって、本実施の形態に係る車載認証システム10によれば、車両通信装置100aの記憶容量を減らすことができる。なお、本実施の形態では、車両が常に外部ネットワークに安定してセキュアに接続している状態であることが前提である。また、本実施の形態に係る車載認証システム10によれば、車両通信装置100aにおいて各種テーブルの更新処理、認証処理および判定処理を行う必要がないため、車両通信装置100aの負荷を軽減しコストを下げることができる。
実施の形態3.
本実施の形態では、実施の形態1とは異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
実施の形態1では、構成データ生成処理および機能相関処理は認証管理装置300で行い、更新情報が認証管理装置から車両200の車両通信装置100に送信される。そして、車両通信装置100では、認証処理と判定処理とを簡便に実行することができる。また、実施の形態1では、構成データテーブルを生成する構成データ生成処理、および機能相関テーブルを生成する機能相関生成処理を認証管理装置300で行っていた。このように、実施の形態1では、構成データ生成処理と機能相関生成処理を認証管理装置300で行っていたが、本実施の形態では、構成データ生成処理と機能相関生成処理を車両通信装置100で行う構成について説明する。
本実施の形態では、実施の形態1とは異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
実施の形態1では、構成データ生成処理および機能相関処理は認証管理装置300で行い、更新情報が認証管理装置から車両200の車両通信装置100に送信される。そして、車両通信装置100では、認証処理と判定処理とを簡便に実行することができる。また、実施の形態1では、構成データテーブルを生成する構成データ生成処理、および機能相関テーブルを生成する機能相関生成処理を認証管理装置300で行っていた。このように、実施の形態1では、構成データ生成処理と機能相関生成処理を認証管理装置300で行っていたが、本実施の形態では、構成データ生成処理と機能相関生成処理を車両通信装置100で行う構成について説明する。
***構成の説明***
図29は、本実施の形態に係る車載認証システム10bの構成を示す図である。
本実施の形態では、車載認証システム10bは、認証管理装置300を有していない。車両200の車両通信装置100bは、認証管理装置300を中継せずに、ベンダサーバ装置400からECU更新情報を受信する。
図30は、本実施の形態に係る車両通信装置100bの構成を示す図である。車両通信装置100bは、実施の形態1で説明した構成要素に加えて、構成データ生成部108と機能相関生成部109とを備える。構成データ生成部108は、実施の形態1で説明した構成データ生成部302と同様の機能を有する。機能相関生成部109は、実施の形態1で説明した機能相関生成部303と同様の機能を有する。
図29は、本実施の形態に係る車載認証システム10bの構成を示す図である。
本実施の形態では、車載認証システム10bは、認証管理装置300を有していない。車両200の車両通信装置100bは、認証管理装置300を中継せずに、ベンダサーバ装置400からECU更新情報を受信する。
図30は、本実施の形態に係る車両通信装置100bの構成を示す図である。車両通信装置100bは、実施の形態1で説明した構成要素に加えて、構成データ生成部108と機能相関生成部109とを備える。構成データ生成部108は、実施の形態1で説明した構成データ生成部302と同様の機能を有する。機能相関生成部109は、実施の形態1で説明した機能相関生成部303と同様の機能を有する。
***動作の説明***
本実施の形態では、構成データ生成処理および機能相関生成処理が車両通信装置100bにおいて実行される。その他の手順は実施の形態1と同じである。
本実施の形態では、構成データ生成処理および機能相関生成処理が車両通信装置100bにおいて実行される。その他の手順は実施の形態1と同じである。
***本実施の形態の効果の説明***
本実施の形態に係る車載認証システム10bによれば、ベンダサーバ装置400と車両200の車両通信装置100b間に中継のサーバがない。よって、本実施の形態に係る車載認証システム10bによれば、同じ情報を複数個所に持たせずに、一元的に管理するため、セキュリティ強化および保守の対象が軽減する。また、本実施の形態に係る車載認証システム10bによれば、管理およびメンテナンスを含めシステム全体のコストを下げることができる。
本実施の形態に係る車載認証システム10bによれば、ベンダサーバ装置400と車両200の車両通信装置100b間に中継のサーバがない。よって、本実施の形態に係る車載認証システム10bによれば、同じ情報を複数個所に持たせずに、一元的に管理するため、セキュリティ強化および保守の対象が軽減する。また、本実施の形態に係る車載認証システム10bによれば、管理およびメンテナンスを含めシステム全体のコストを下げることができる。
実施の形態1から3では、車載認証システムの各部が独立した機能ブロックとして車載認証システムを構成している。しかし、上述した実施の形態のような構成でなくてもよく、車載認証システムの構成は任意である。車載認証システムの機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、任意である。これらの機能ブロックの他のどのような組み合わせ、あるいは任意のブロック構成で、車載認証システムを構成しても構わない。
実施の形態1から3について説明したが、これらの実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これらの実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
10,10b 車載認証システム、20 属性情報、100,100a,100b 車両通信装置、101,304 認証部、102,305 判定部、103 更新部、104,307 記憶部、105,308 受信部、106,309 送信部、107,311 表示部、110,320 鍵管理部、111a 制御部、200 車両、201 車載ネットワーク、202 ECU、250 CPU、252 プログラム、253,621 ECU情報、254 通信装置、300,300a 認証管理装置、301 更新データ処理部、108,302 構成データ生成部、109,303 機能相関生成部、306 テーブル管理部、310 受付部、400 ベンダサーバ装置、511 ヘッダ情報、512 ECU差分情報、513 更新ソフトウェア、521 構成データ差分、522 機能相関差分、610 構成データテーブル、601 構成データ、611 構成データ情報、620 ECU情報テーブル、630 認証エラーリスト、631 認証エラーテーブル、640 機能相関テーブル、650 更新情報、651 ECU更新情報、652 テーブル更新情報、801,901 プロセッサ、251,802,902 メモリ、803,903 補助記憶装置、804,904 通信装置、805,905 表示機器、906 入力装置、907 入力装置、809,909 電子回路、500 機能表示画面。
Claims (11)
- 複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムにおいて、
前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証部と、
前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定部と、
前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示部と
を備えた車載認証システム。 - 前記複数の電子制御装置は、車載ネットワークを介して互いに通信し、
前記判定部は、
前記認証エラーリストに登録されている電子制御装置を前記車載ネットワークから切り離す請求項1に記載の車載認証システム。 - 前記車載認証システムは、
前記複数の電子制御装置の各電子制御装置に、前記複数の電子制御装置の各電子制御装置の属性を表す属性情報から生成された構成データを対応付けた構成データ情報から成る構成データテーブルを記憶する記憶部を備え、
前記認証部は、
前記複数の電子制御装置の各電子制御装置から、前記電子制御装置の属性を表す属性情報を取得し、前記属性情報に基づいて前記電子制御装置の署名を算出し、前記署名と前記構成データテーブルに含まれる前記構成データとを比較し、前記署名と前記構成データとが一致する場合に前記電子制御装置の構成認証を成功とする請求項1または2に記載の車載認証システム。 - 前記車載認証システムは、さらに、前記記憶部を備えた認証管理装置を有し、
前記認証管理装置は、
前記複数の電子制御装置の各電子制御装置に関する変更を表す装置変更情報を受け取ると、前記装置変更情報に基づいて、前記構成データテーブルを更新する構成データ生成部を備えた請求項3に記載の車載認証システム。 - 前記装置変更情報は、前記電子制御装置の前記属性情報を含み、
前記認証管理装置は、
前記装置変更情報に基づいて、前記機能相関テーブルを更新する機能相関生成部を備えた請求項4に記載の車載認証システム。 - 前記認証管理装置は、
前記構成データテーブルにおける更新前と更新後の差分である構成データ差分と、前記機能相関テーブルにおける更新前と更新後の差分である機能相関差分とを含む更新情報を生成し、前記車両通信装置に送信する更新データ処理部を備えた請求項5に記載の車載認証システム。 - 前記車載認証システムは、
前記複数の電子制御装置の各電子制御装置に関する変更を表す装置変更情報を受け取ると、前記装置変更情報に基づいて、前記構成データテーブルを更新する構成データ生成部と、
前記装置変更情報に基づいて、前記機能相関テーブルを更新する機能相関生成部と
を備えた請求項3に記載の車載認証システム。 - 前記車載認証システムは、さらに、前記記憶部を備えた認証管理装置を有し、
前記車両通信装置は、
前記複数の電子制御装置の各電子制御装置から、前記電子制御装置の前記属性情報を収集し、収集した前記属性情報を前記認証管理装置に送信する制御部を備え、
前記認証管理装置は、
前記認証部と、前記判定部と、前記構成データ生成部と、前記機能相関生成部とを備え、
前記認証部は、
前記認証エラーリストを前記制御部に送信し、
前記判定部は、
前記車両において実現可能な車両搭載機能を判定結果として前記制御部に送信する請求項7に記載の車載認証システム。 - 前記車両通信装置は、
前記認証部と、前記判定部と、前記構成データ生成部と、前記機能相関生成部と、前記表示部とを備えた請求項7に記載の車載認証システム。 - 複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムの車載認証方法において、
認証部が、前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録し、
判定部が、前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定し、
表示部が、前記判定部により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する車載認証方法。 - 複数の電子制御装置を搭載する車両に備えられた車両通信装置であって、前記複数の電子制御装置の各電子制御装置と通信する車両通信装置を有する車載認証システムの車載認証プログラムにおいて、
前記複数の電子制御装置の各電子制御装置について構成の正当性を認証する構成認証を実行し、構成認証が失敗した電子制御装置を認証エラーリストに登録する認証処理と、
前記車両において実現される車両搭載機能と前記車両搭載機能の実現に用いられる電子制御装置との相関を表した機能相関テーブルと、前記認証エラーリストとに基づいて、前記車両において実現可能な車両搭載機能を判定する判定処理と、
前記判定処理により前記車両において実現可能と判定された車両搭載機能を、前記車両通信装置の表示機器に表示する表示処理と
をコンピュータに実行させる車載認証プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/017476 WO2018207243A1 (ja) | 2017-05-09 | 2017-05-09 | 車載認証システム、車載認証方法および車載認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2018207243A1 true JPWO2018207243A1 (ja) | 2019-11-07 |
| JP6625269B2 JP6625269B2 (ja) | 2019-12-25 |
Family
ID=64105215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019516759A Active JP6625269B2 (ja) | 2017-05-09 | 2017-05-09 | 車載認証システム、車両通信装置、認証管理装置、車載認証方法および車載認証プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200151972A1 (ja) |
| JP (1) | JP6625269B2 (ja) |
| CN (1) | CN110582430B (ja) |
| DE (1) | DE112017007515T5 (ja) |
| WO (1) | WO2018207243A1 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6956624B2 (ja) | 2017-03-13 | 2021-11-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 情報処理方法、情報処理システム、及びプログラム |
| JP6724829B2 (ja) * | 2017-03-16 | 2020-07-15 | 株式会社デンソー | 制御装置 |
| US11496506B2 (en) * | 2017-07-03 | 2022-11-08 | Denso Corporation | Program generation method and electronic control unit for changing importance of functions based on detected operation state in a vehicle |
| US11178158B2 (en) * | 2018-01-29 | 2021-11-16 | Nagravision S.A. | Secure communication between in-vehicle electronic control units |
| US11958423B2 (en) * | 2019-02-18 | 2024-04-16 | Autonetworks Technologies, Ltd. | On-board communication device, program, and communication method |
| JP7099357B2 (ja) * | 2019-02-20 | 2022-07-12 | トヨタ自動車株式会社 | 運転支援装置 |
| KR20200102213A (ko) | 2019-02-21 | 2020-08-31 | 현대자동차주식회사 | 차량 내 네트워크에서 보안을 제공하는 방법 및 시스템 |
| JP7008661B2 (ja) * | 2019-05-31 | 2022-01-25 | 本田技研工業株式会社 | 認証システム |
| US11405217B2 (en) * | 2019-07-02 | 2022-08-02 | Schneider Electric USA, Inc. | Ensuring data consistency between a modular device and an external system |
| JP7314775B2 (ja) * | 2019-11-18 | 2023-07-26 | 株式会社デンソー | 車両用制御装置、車両用システム、及び車両用制御方法 |
| CN114124578B (zh) * | 2022-01-25 | 2022-04-15 | 湖北芯擎科技有限公司 | 一种通信方法、装置、车辆及存储介质 |
| CN114567434B (zh) * | 2022-03-07 | 2023-08-11 | 亿咖通(湖北)技术有限公司 | 一种证书和密钥的存储方法和电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003260991A (ja) * | 2002-03-12 | 2003-09-16 | Nissan Motor Co Ltd | 車両用故障診断装置 |
| JP2004338630A (ja) * | 2003-05-16 | 2004-12-02 | Toyota Motor Corp | 動的再構成デバイスを用いた車両機能担保システム |
| WO2012063724A1 (ja) * | 2010-11-12 | 2012-05-18 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| JP2013193612A (ja) * | 2012-03-21 | 2013-09-30 | Fuji Heavy Ind Ltd | 車両の制御装置 |
| WO2015170453A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法 |
| JP2016013751A (ja) * | 2014-07-01 | 2016-01-28 | 株式会社デンソー | 制御装置 |
| JP2016502697A (ja) * | 2012-10-17 | 2016-01-28 | タワー−セク・リミテッド | 輸送手段への攻撃の検出および防止のためのデバイス |
| JP2016134170A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び電子制御ユニット |
| JP2017047835A (ja) * | 2015-09-04 | 2017-03-09 | 日立オートモティブシステムズ株式会社 | 車載ネットワーク装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070061654A (ko) * | 2005-12-10 | 2007-06-14 | 현대자동차주식회사 | 차량용 네트워크를 이용한 보안 시스템 |
| JP5654421B2 (ja) * | 2011-07-07 | 2015-01-14 | オムロンオートモーティブエレクトロニクス株式会社 | 車両制御システム及び認証方法 |
| JP6252304B2 (ja) * | 2014-03-28 | 2017-12-27 | 株式会社デンソー | 車両用認知通知装置、車両用認知通知システム |
-
2017
- 2017-05-09 US US16/604,032 patent/US20200151972A1/en not_active Abandoned
- 2017-05-09 CN CN201780090190.2A patent/CN110582430B/zh active Active
- 2017-05-09 JP JP2019516759A patent/JP6625269B2/ja active Active
- 2017-05-09 DE DE112017007515.7T patent/DE112017007515T5/de active Pending
- 2017-05-09 WO PCT/JP2017/017476 patent/WO2018207243A1/ja active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003260991A (ja) * | 2002-03-12 | 2003-09-16 | Nissan Motor Co Ltd | 車両用故障診断装置 |
| JP2004338630A (ja) * | 2003-05-16 | 2004-12-02 | Toyota Motor Corp | 動的再構成デバイスを用いた車両機能担保システム |
| WO2012063724A1 (ja) * | 2010-11-12 | 2012-05-18 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| JP2013193612A (ja) * | 2012-03-21 | 2013-09-30 | Fuji Heavy Ind Ltd | 車両の制御装置 |
| JP2016502697A (ja) * | 2012-10-17 | 2016-01-28 | タワー−セク・リミテッド | 輸送手段への攻撃の検出および防止のためのデバイス |
| WO2015170453A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法 |
| JP2016013751A (ja) * | 2014-07-01 | 2016-01-28 | 株式会社デンソー | 制御装置 |
| JP2016134170A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び電子制御ユニット |
| JP2017047835A (ja) * | 2015-09-04 | 2017-03-09 | 日立オートモティブシステムズ株式会社 | 車載ネットワーク装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110582430B (zh) | 2022-12-20 |
| US20200151972A1 (en) | 2020-05-14 |
| JP6625269B2 (ja) | 2019-12-25 |
| WO2018207243A1 (ja) | 2018-11-15 |
| DE112017007515T5 (de) | 2020-10-15 |
| CN110582430A (zh) | 2019-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018207243A1 (ja) | 車載認証システム、車載認証方法および車載認証プログラム | |
| JP5864510B2 (ja) | 修正プログラム確認方法、修正プログラム確認プログラム、及び情報処理装置 | |
| CN109324590B (zh) | 管理系统、车辆及信息处理方法 | |
| JP6719079B2 (ja) | 情報機器、データ処理システム、データ処理方法およびコンピュータプログラム | |
| US11861951B2 (en) | Driving management system, vehicle, and information processing method | |
| US20190057214A1 (en) | Update control device, terminal, and method of controlling | |
| CN111066303B (zh) | 与机动车辆驾驶员辅助系统相关的方法 | |
| US9635151B2 (en) | In-vehicle communication system and in-vehicle relay apparatus | |
| JP6782446B2 (ja) | 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム | |
| CN104904156B (zh) | 认证处理装置、认证处理系统以及认证处理方法 | |
| JP6389152B2 (ja) | 車載器および車載器プログラム | |
| US11182485B2 (en) | In-vehicle apparatus for efficient reprogramming and controlling method thereof | |
| WO2018173732A1 (ja) | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 | |
| JP2019040588A (ja) | 運転管理システム、車両、及び、情報処理方法 | |
| WO2021111681A1 (ja) | 情報処理装置、制御方法及びプログラム | |
| JP2013026964A (ja) | 車両用情報更新装置および車両用情報更新方法 | |
| US20230401317A1 (en) | Security method and security device | |
| JP2022007238A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US20220019669A1 (en) | Information processing device | |
| JP2019009788A (ja) | 車載器、車載器の処理方法および車車間通信支援装置 | |
| CN114834393A (zh) | 车辆控制系统 | |
| JP2022089097A (ja) | 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 | |
| US20240086541A1 (en) | Integrity verification device and integrity verification method | |
| JP7466819B2 (ja) | 管理装置、管理方法及びプログラム | |
| EP3361669B1 (en) | Mounted unit, mounted unit verification method and mounted unit verification program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190625 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190625 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190625 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190725 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190730 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190911 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191126 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6625269 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |