WO2016031149A1 - 車両用データ変換装置及び車両用データ出力方法 - Google Patents

Abstract

　車両用データ変換装置は、車両内から車両データを取得する取得部（１６ａ）と、取得部により取得される車両データに対応した分類レベルに応じた車外出力用のデータ処理方法を記憶する第１記憶部（１８）と、第１記憶部により記憶されたデータ処理方法に応じて変換された車両データを出力する出力部（１９）と、を備える。

Description

車両用データ変換装置及び車両用データ出力方法 関連出願の相互参照

　本出願は、２０１４年８月２６日に出願された日本国特許出願２０１４－１７１５４６号に基づくものであり、ここにその記載内容を参照により援用する。

　本開示は、車内から車外へデータ出力する車両用データ変換装置及び車両用データ出力方法に関する。

　例えば、個々のユーザが使用可能な装置を制限する手段として、ユーザを役職、所属などの属性により分類し、この分類に応じて装置の使用を制限する技術が開発されている（例えば、特許文献１参照）。この特許文献１記載の技術によれば、ユーザ管理テーブルがユーザの識別情報、認証情報、使用可能な機能情報を記憶しており、ユーザ登録削除手段によりユーザ認証情報が登録されると、ユーザ認証手段が装置の正当なユーザであると判断した場合、当該ユーザに利用許可した機能のみ装置を使用できるようにしている。

　本願発明者らは下記を見出した。

　近年、例えば車内で用いられる車両情報を車外から要求し、車外において車両データを活用することが行われている。しかしながら、車外から機密性の高い車両データに直接アクセスできてしまうと、車外から重要性の高い車両データが直接操作されたり、読み出された車両データが悪用されたりするおそれがある。例えば、特許文献１記載のユーザ認証技術を適用したとしても、車両データのセキュリティ性能を高める上では不十分である。

日本国公開特許公報２００６－３４４１２８号

　本開示の目的は、車内に記憶される車両データのセキュリティ性を高めることができるようにした車両用データ変換装置及び車両用データ出力方法を提供することにある。

　本開示の一例に係る車両用データ変換装置は、車両内から車両データを取得する取得部と、取得部により取得される車両データに対応した分類レベルに応じた車外出力用のデータ処理方法を記憶する第１記憶部と、第１記憶部により記憶されたデータ処理方法に応じて変換された車両データを出力する出力部と、を備える。さらに、本開示の一例によれば、車両用データ出力方法が提供される。

　車両用データ変換装置及び車両用データ出力方法によれば、車両内から車両データを取得し、車両データに対応して第１記憶部に記憶されたデータ処理方法に応じて変換された車両データを出力するため、車内に記憶される車両データのセキュリティ性を高めることができる。

　本開示についての上記および他の目的、特徴や利点は、添付の図面を参照した下記の詳細な説明から、より明確になる。添付図面において
図１は、第１実施形態における車両データの送受信システムの電気的構成を概略的に示すブロック図であり、 図２は、車両データ処理装置の電気的構成を概略的に示すブロック図であり、 図３は、車両データの分類とデータ処理方法の一例についてアクセス制御リストの内容を表す説明図であり、 図４は、全体の流れを概略的に示すシーケンス図であり、 図５は、データ処理装置の処理内容を概略的に示すフローチャートであり、 図６は、データ加工処理、データ更新処理の内容を概略的に示すフローチャートであり、 図７は、分解能演算処理用のマスクデータの例を示す図であり、 図８は、データ更新制御処理の内容を概略的に示すフローチャートであり、 図９は、第２実施形態における車両データの送受信システムの電気的構成を概略的に示すブロック図であり、 図１０は、データ処理装置の処理内容を概略的に示すフローチャートであり、 図１１は、第３実施形態におけるデータ加工処理の内容を概略的に示すフローチャートであり、 図１２Ａは、人物又はアプリケーションの分類とデータ処理方法の一例についてアクセス制御リストの内容を表す図であり、 図１２Ｂは、人物又はアプリケーションの分類とデータ処理方法の一例についてアクセス制御リストの内容を表す図である。

　以下、車両用データ変換装置及び車両用データ出力方法の幾つかの実施形態について図面を参照しながら説明する。各実施形態において同一又は類似の動作を行う構成については、同一又は類似の符号を付して必要に応じて説明を省略する。

　（第１実施形態）
　まず図１を参照し、車両用送受信システム１の概略構成について説明する。図１に示すように、車両２内には多数のＥＣＵ３、４が設置されており、これらのＥＣＵ３、４が車内ＬＡＮ（Local Area Network）５を通じて接続されている。そして、これらのＥＣＵ３、４は、車両２内に設置されたセンサ（図示せず）からセンサ情報を取得し、このセンサ情報に基づいてモータなどのアクチュエータ（図示せず）を駆動する。このとき、車両環境性能、安全性、快適性、エコロジー技術などの発展などの影響から、これらの多数のＥＣＵ３、４は、従来に比較してより高性能な技術を実現可能になっている。１台の車両内で扱われる車両データは数千～数万個存在するが、この車両データは、日々の車両制御に係る技術進化（例えばＰＨＶ（Plug-in Hybrid Vehicle）化）に応じて随時内容が更新される。

　近年では、図１に示すように、例えば車外のセンタ装置６が車外に整備された車外の通信網７（例えば携帯電話網など、有線通信網を含んでも良い）を通じて車内のＥＣＵ３、４にアクセスして車内で用いられる車両データを要求し、センタ装置６がこの車両データを活用するシステムも開発されつつある。また、近年の近距離無線通信技術、無線ＬＡＮ技術などの発展に伴い、車内外に設置されるタブレット端末などの携帯端末８が、車外通信９を用いて車両データをアクセス可能になってきている。この車外通信９の方式は、無線ＬＡＮ、近距離無線通信（例えばＢｌｕｅｔｏｏｔｈ（登録商標）)などが用いられる。しかし、これらのセンタ装置６または携帯端末８が、車内に保持された機密性の高い車両データに直接アクセスできてしまうと、これらの装置６、８が重要性の高い車両データを直接操作したり、読出された車両データが悪用されたりする虞がある。このため、本実施形態では、図１に示すように、セキュリティ対策用のＥＣＵ４が車内ＬＡＮ５に接続されている。以下、セキュリティ対策用のＥＣＵ４を他のＥＣＵ３と区別して表すため、以下では、このＥＣＵ４をデータ処理装置４と称する。

　図２を参照しながら、車両用データ変換装置としてのデータ処理装置４の概略構成について説明する。図２にデータ処理装置の電気的構成をブロック図により概略的に示す。このデータ処理装置４は、車外から車両データが要求されたときなどに必要に応じて加工処理を行い、非処理又は処理後の車両データを車外に出力して良いか否かを判定するＥＣＵとなっている。この加工処理とは、データ精度の分解能を制限したり、データの更新周期を変更したり、データの暗号化方式を機密性の高低に応じて変更したりする処理等を示す。このデータ処理装置４が、車外に出力して良いと判定したデータのみを通信装置を通じて車外に出力可能とする。これにより、車内の制御内容などの機密性の高い情報を車外から把握されないようにする。

　データ処理装置４は、ＣＡＮ（Controller Area Network）コントローラ（トランシーバ）１１と、車外接続用通信コントローラ（トランシーバ）１２と、マイクロコンピュータ（マイコン）１３と、を備えている。ＣＡＮコントローラ１１は、例えばＣＡＮにより車内ネットワーク５との通信接続を行う。マイコン１３はＣＡＮドライバ１４によりＣＡＮコントローラ１１と接続し、車内ネットワーク５に接続される他のＥＣＵ３との間で通信接続する。ＣＡＮは、車載機器にも利用可能なネットワークの規格と関連機器の一例である。

　マイコン１３は、主に、コミュニケーションモジュール（Ｃｏｍ）１５、各種データを保持するデータ記憶部１６、変換部としての情報制御部１７、アクセス制御リストＬ（図３参照）を記憶するアクセス制御リスト記憶部（第１記憶部相当）１８、及び、車外接続用スタック（出力部相当）１９を備え、アプリケーション１００は情報制御部１７により加工されたデータを利用できるようになっている。

　アクセス制御リスト記憶部１８は、例えば揮発性メモリ又は不揮発性メモリにより構成されアクセス制御リストＬが記憶される。このアクセス制御リスト記憶部１８は、情報制御部１７が記憶内容を書換可能になっている。本実施形態において、データ記憶部１６は、例えばレジスタにより構成され、車内通信用バッファ（取得部相当）１６ａ及び車外通信用バッファ（第２記憶部相当）１６ｂに分けて設けられる。データ記憶部１６の中の車内通信用バッファ１６ａは、ＣＡＮデータのフレーム１６ｃの単位を１～８バイトとされており、このフレーム１６ｃのデータは個別のデータに分けて、車内ネットワーク５からの受信信号によって定期的に更新されるようになっている。

　ここで、本実施形態では、車内通信にＣＡＮを用いた形態を示すが、車内通信はＬＩＮを用いて通信接続しても良い。なお、コミュニケーションモジュール１５より下層で扱うフレーム１６ｃ及び車内通信用バッファ１６ａのデータフォーマットは、ＣＡＮにおいてもＬＩＮにおいても共通として図２に示した構成を用いることができる。

　車内通信用バッファ１６ａには、車内ネットワーク５から取得される車両データが定期的に記憶されるが、情報制御部１７は、アクセス制御リスト記憶部１８に記憶されたアクセス制御リストＬ（図３参照）に基づいて、記憶された車両データを加工し、必要に応じて車外通信用バッファ１６ｂに保持させる。車外通信用バッファ１６ｂは、後述するデータの更新周期が定義されたデータについては、車内通信用バッファ１６ａの個々の記憶データに対しアクセス制御リストＬに定義された分類分だけ用意しておくと良い。

　車外接続用スタック１９は、車外通信用バッファ１６ｂに保持されるデータをまとめて記憶する。マイコン１３は、車外接続用通信ドライバ２０により車外接続用通信コントローラ１２と接続し、車外接続用通信コントローラ１２は、例えば無線通信モジュール２１などを通じて車外の通信網７に接続する。これにより、データ処理装置４のマイコン１３は通信網７に通信接続でき、外部のセンタ装置６または携帯端末８などの機器と通信処理できる。

　ここで、車両データの分類について説明する。前述したように、１台の車両内で扱われる車両データは例えば数千～数万個存在するが、これらの車両データは予め数種類に分類されており、この分類に応じてセキュリティレベルに対応した分類レベルが決定される。ここでは、機密度、重要度（セキュリティレベル）の低いほうから高いほうにかけて分類レベルＩ～ＩＶに分けた例を説明する。

　分類レベルＩの車両データは、例えば車両ユーザが直接確認可能な情報としている。例えばユーザが、車内の計器板を視認することで得られるメータ表示情報（例えば、スピードメータ情報）などである。ここで、これらのメータ表示情報は、車両２内に設置されたＥＣＵ３によりメータ表示用に加工されたデータであるため、このメータ表示情報自体については、機密度、重要度が最も低く、分類レベルＩに設定されている。分類レベルＩの車両データは、この種別に応じてグルーピングされている。

　分類レベルＩＩの車両データは、例えば車両２のユーザによる後付センサなどのセンサ情報としている。例えば、車両２のユーザが車体を購入した後、ナビゲーション装置（図示せず）を車両２内に外付けした場合、この外付けナビゲーション装置は各種道路情報（緯度経度情報、地表面の勾配値）などの情報について車内ネットワーク５を通じて各種ＥＣＵ３に出力する場合もある。このような外付け機器から出力される各種情報は、機密度、重要度も比較的低く分類レベルＩＩに設定されている。これらの分類レベルＩＩの車両データもまた、この種別に応じてグルーピングされている。

　分類レベルＩＩＩの車両データは、例えば予め車両２に組付けられた組付モジュールによる情報としている。車両組付型のナビゲーションシステム（図示せず）は、前述の外付けナビゲーション装置とほぼ同様に各種道路情報（緯度経度情報、地表面の推定勾配値）などの情報について車内ネットワーク５を通じて各種ＥＣＵ３に出力する。また、車速センサ、雨量センサ、各種圧力センサなどの各種センサ（何れも図示せず）の生データは、機密度、重要度も比較的高くなり分類レベルＩＩＩに設定されている。これらの分類レベルＩＩＩの車両データもまた、この種別に応じてグルーピングされている。

　分類レベルＩＶの車両データは、例えば推定ロジックに依存する推定値の生情報としている。このような車両データとしては、例えば車軸の推定トルク、または、地表面の推定勾配値の生データを一例として挙げることができる。このような情報は、車両２の組付モジュールのサプライヤが所持するノウハウに依存する情報となっており、このような情報が外部出力されてしまうと、推定値の生情報に応じて推定ロジックのノウハウを暴露してしまうことにもなりうる。このため、このようなデータを機密度、重要度を最も高くした分類レベルＩＶに設定している。これらの分類レベルＩＶの車両データもまた、この種別に応じてグルーピングされている。

　次に、アクセス制御リスト記憶部１８に記憶されるアクセス制御リストＬの内容を説明する。アクセス制御リストＬは、車両内から取得された車両データに対応して車両外に車両データが出力されるときのデータ処理方法を、データの重要度の高低、機密性の高低に応じて記憶するリストを示しており、図３に車内外でデータ転送する際のアクセス制御リストＬの内容を概略的に示している。

　アクセス制御リストＬには、例えば、前述の分類レベルＩ～ＩＶに応じて、データ分解能、更新タイミング、暗号化方式に係るデータ処理方法が記されている。なお、このデータ処理方法は、この３種類に限られるものではなく、前述した処理方法のうちの１又は２つ、又は、これ以外にもその他、各種のデータ処理方法を用いることができる。

　図３に示すように、アクセス制御リスト記憶部１８には、前述の分類レベルが上がる（Ｉ→ＩＩ→ＩＩＩ→ＩＶ）に従って、車両データのセキュリティレベルを高くするようにデータ処理方法が記憶されている。アクセス制御リスト記憶部１８には、例えばデータの分解能として、分類レベルＩでは生データそのものを出力可能であることが記憶されているのに対し、分類レベルＩＩにおいて生データに対し小数点以下を切り捨てるという所謂丸め込み処理を行うことが記憶されている。

　また、アクセス制御リスト記憶部１８には、分類レベルＩＩＩにおいて生データに対し分解能をＡ１倍にする処理を行うことが記憶されている。また、更新タイミングについても、分類レベルＩ、ＩＩでは制限ないのに対し、分類レベルＩＩＩでは更新周期Ａ２（＞基本周期）でしか出力処理しないことが記憶されている。さらに、暗号化方式についても、分類レベルＩでは暗号化なしと記憶されているのに対し、分類レベルＩＩ、ＩＩＩではＲＳＡ（登録商標）、ＡＥＳ、とセキュリティの高い暗号化方式を採用することが記憶されている。また、アクセス制御リスト記憶部１８には、分類レベルＩＶではそもそもデータを出力処理しないことが記憶されている。このようにアクセス制御リスト記憶部１８には、各分類レベルＩ～ＩＶに応じたデータ処理方法が記憶されている。

　次に、例えば、車外の装置となるセンタ装置６又は携帯端末８が、車外ネットワークを通じて車内ネットワーク５に流れる車両データにアクセスし、車両データを要求する場合の動作手順について、図４を参照しながら説明する。図４には全体の概略的な動作シーケンス図を示している。なお、図４中のデータ処理装置４による処理は主にマイコン１３が行う処理を示している。

　まず、センタ装置６又は携帯端末８が、車両２内の車両データを取得したい場合には、事前に機器認証登録が行われる。携帯端末８のユーザが、その携帯端末８を車内のデータ処理装置４に認証登録する場合、まず、携帯端末８がデータ処理装置４に接続要求する（Ｓ１）。このとき、携帯端末８は、データ処理装置４に対し、当該携帯端末８の機器ＩＤとセキュリティコード（機器ＩＤセキュリティコード）を送信して認証要求し、データ処理装置４が、機器ＩＤ及びセキュリティコードに応じた認証データを携帯端末８に返信して機器登録を完了する（Ｓ２）。なお、携帯端末８の認証手順の方式はこの方式に限られるものではない。

　そして、携帯端末８が車両データを送信要求するときには（Ｓ３）、機器ＩＤと共にデータ要求するデータ種類（データＩＤ）をデータ処理装置４に送信する。データ処理装置４は、携帯端末８の機器ＩＤを確認し（Ｓ４）、データＩＤを確認した（Ｓ５）後に、アクセス制御リストＬに記載の分類レベルでデータ出力可である（Ｓ６ａ：ＹＥＳ）ことを条件として車両データを出力許可する（Ｓ６ｂ）。逆に、データ処理装置４は、この条件を満たさない場合には（Ｓ６ａ：ＮＯ）、車両データの出力を許可しない（Ｓ６ｃ）。

　データ処理装置４は、車両データを出力許可した場合には、必要に応じてデータ加工処理し、通信タイミング制御しながら処理後のデータを携帯端末に出力する（Ｓ７）。すると、携帯端末８は、このデータを用いてデータ処理できる（Ｓ８）。センタ装置６が、データ処理装置４に接続してデータ要求する場合にも同様の処理が行われる（Ｓ１１～Ｓ１８）。

　次に、データ処理装置４の内部処理について、図５～図７を参照して説明する。データ処理装置４内のマイコン１３は、車内ネットワーク５からデータをフレーム単位で取り出し（Ｔ１）、車内通信用バッファ１６ａへデータコピーする（Ｔ２）。情報制御部１７がデータ加工処理して（Ｔ３）、車外通信用バッファ１６ｂへデータコピーしておく（Ｔ４）。このデータ加工処理の内容を図６に概略的に示す。図６に示すように、情報制御部１７は、アクセス制御リスト記憶部１８内のアクセス制御リストＬからデータ処理方法を読み出し（Ｕ１）、分解能演算し（Ｕ２）、アクセス制御リストＬに記憶された暗号化処理を施すことを記憶し（Ｕ３）、データを書き込む（Ｕ４）。なお、これらのデータ加工処理の合間に、分類レベルＩ～ＩＶに応じたデータ改竄検知処理を行うようにしても良い。このデータ改竄検知処理は、証明書を付与することで確からしさを確認しても良いし、車内通信用バッファ１６ａの記憶値が前回データと今回データとで異なっている場合に、その変化量が閾値レベルを超えているか否かで検知しても良いし、チェックサムなどのエラー検出符号を用いて検知しても良い。すると、車内通信用バッファ１６ａ又は車外通信用バッファ１６ｂ内に蓄積されるデータ信頼性を向上できる。

　図７に、データ分類レベルに応じた分解能演算処理用のマスクデータを示している。マスクデータが「１」の桁はデータをそのまま有効とする処理を行い、「０」の桁はデータをマスクし無効とする処理を行う。すなわち、上位桁のみ有効とし下位桁を無効としてデータ加工処理できる。この図７に示すマスクデータは、２進数単位でマスクするデータを示しているが、これに限られず、１０進数単位（例えば図３の分類レベルＩＩに示す「小数点以下切り捨て」など）で行うこともできる。このように、本実施形態では、データ処理装置４が外部からデータ要求される前に事前にデータ加工処理を行う。

　情報制御部１７は、図５のステップＴ３においてデータ加工処理を行い、ステップＴ４において車外通信用バッファ１６ｂにデータをコピーするが、このコピーされたデータについて例えば所定の基本周期（例えば１ｍ秒）毎に更新処理するか否かの判断を行い必要に応じて更新処理する。この情報制御部１７が行うデータ更新制御処理の内容を図８に概略的に示している。

　図８に示すように、情報制御部１７は、車内通信用バッファ１６ａを参照し、随時更新されるデータが車内通信用バッファ１６ａ内に存在するか否かを判定する（Ｖ１）。情報制御部１７は、更新対象データが存在すると判定すると（Ｖ１：ＹＥＳ）、その更新対象となる全ての更新対象データに対応した更新時間カウンタ（図示せず）をインクリメントし（Ｖ２）、対象アクセスレベル（分類レベル）に更新制御があるか否かを判定する（Ｖ３）。なお更新時間カウンタは、例えば個々の更新対象データに対応してマイコン１３内に予め用意される。

　ここで、情報制御部１７は、対象アクセスレベル（分類レベル）に更新制御ありと判定した場合には、このある対象データの更新時間カウンタの示す時間が更新周期を経過したか否かを判定する（Ｖ４）。情報制御部１７は、更新周期以上経過したと判定したときには、車外通信用バッファ１６ｂのデータを更新し（Ｖ５）、更新時間カウンタを０とする（Ｖ６）。これらのＶ３～Ｖ６の処理は、更新対象となる全てのデータを対象として行われる（Ｖ７：ＹＥＳ）。

　これにより、更新対象データは、アクセス制御リストＬに保持された分類レベルＩ～ＩＶに対応した更新タイミングに応じて、随時、車外通信用バッファ１６ｂに更新されることになる。図３のアクセス制御リストＬに示される例で説明すると、分類レベルＩ、ＩＩに分類されたデータは、更新対象となるデータについて、全て更新カウンタの内容に関わらず、この図８に示すルーチンが行われることで、ＣＡＮデータの更新周期に同期して直ぐにデータが更新されることになり、分類レベルＩＩＩに分類されたデータは、更新カウンタの更新周期Ａ２（＞基本周期：例えば１００ｍｓ固定周期）に応じて更新されることになる。これにより、データの更新タイミングをセキュリティレベルに応じて変更制御できる。

　例えば、車外のセンタ装置６又は携帯端末８が車両２内にデータを送信要求するタイミングが、車両２内の構成（ＥＣＵ３、４）にとって望ましいタイミングに合致することはない。このため、データ処理装置４は、このセキュリティレベルに応じた更新カウンタの更新周期に応じて車外通信用バッファ１６ｂに予め加工後のデータを更新させる。これにより、センタ装置６又は携帯端末８がどのようなタイミングでデータを送信要求してきたとしても、この送信要求に対し、個々のデータのセキュリティレベルに応じて車両データを即座に出力できるようになる。

　図５に示すように、データ処理装置４内のマイコン１３は、ステップＴ４において、情報制御部１７がデータ加工処理して車外通信用バッファ１６ｂへデータコピーしておき、図８に示すようにデータ更新制御するが、そのときにデータ送信要求があるか否かを判定し（Ｔ５）、データ送信要求があると（Ｔ５：ＹＥＳ）、車外通信用バッファ１６ｂからデータを取得し車外接続用スタック１９に格納する（Ｔ６）。そして、マイコン１３は、ステップＵ３において記憶された暗号化処理を施して車外接続用スタック１９から車外接続用通信コントローラ１２に書込み（Ｔ７）、車外接続用通信コントローラ１２は無線通信モジュール２１などを通じて、外部の携帯端末８又はセンタ装置６など送信要求元の装置にデータを出力する（Ｔ８）。このようにして、データ要求されたときには送信要求元の外部装置にデータを出力できる。
（具体例１）
　以下、具体例を説明する。例えば、車外のセンタ装置６が車内ネットワーク５内の多重バスを通じて通信される車輪速情報を定期的に提供するように要求した場合について説明する。車輪速情報は車内ネットワーク５を通じて通信されており、定期的に車内通信用バッファ１６ａに記憶される。情報制御部１７は、アクセス制御リストＬに記憶されたデータ処理方法をアクセス制御リスト記憶部１８から読込む。情報制御部１７は、車内ネットワーク５を通じて取得した車輪速情報について例えば分類レベルＩＩＩに分類されているデータであると判定し、アクセス制御リストＬに記憶されたデータ処理方法をアクセス制御リスト記憶部１８から読込む。ここでは、例えば、車輪速情報の「データの分解能」として１０倍の分解能、「更新タイミング」として車内ネットワークを通じて１０（＝Ａ２）回受信したら１回提供する更新周期、という情報であるとする。

　ここで、１０倍の分解能とは、例えばデータが１０進数で「５０．２３」、「５０．３５」、「５１．２３」、「５１．２０」、「５１．２５」、「５０．１０」、「５０．３３」、「５０．４０」、「５０．４５」、「５１．１０」、「５１．２１」、「５１．００」のとき、小数点２ケタ目を切り捨てし、「５０．２」、「５０．３」、「５１．２」、「５１．２」、「５１．２」、「５０．１」、「５０．３」、「５０．４」、「５０．４」、「５１．１」、「５１．２」、「５１．０」を出力することを意味する。なお、４捨５入処理するものであっても良い。また、データ１０回受信したら１回提供する場合には、最初のデータである「５０．２」と、１１回目のデータである「５１．２」とを車外通信用バッファ１６ｂに出力する。センタ装置６は、車内のデータ処理装置４に認証を受けた後、データ送信要求を行う。データ処理装置４は、送信要求を受け付けると、車外通信用バッファ１６ｂからデータを取得し、無線通信モジュール２１を通じてセンタ装置６に送信する。すると、センタ装置６は、データ処理装置４から「５０．２」、「５１．２」のデータを受信できる。
（具体例２）
　具体例２は、例えば携帯端末８が車内ネットワーク５を通じて通信されるエンジン水温のデータを要求した場合について説明する。エンジン水温のデータは車内ネットワーク５を通じて通信されており、定期的に車内通信用バッファ１６ａに記憶される。情報制御部１７は、アクセス制御リスト記憶部１８に記憶されたデータ処理方法をアクセス制御リストＬから読込む。ここでは、例えば、エンジン水温の情報の「データの分解能」として小数点以下切り捨て、「更新タイミング」として制限なし、暗号化はＲＳＡ、という情報とする。情報制御部１７は、エンジン水温データを小数点以下切り捨てて車外通信用バッファ１６ｂに記憶させる。

　携帯端末８は、車内のデータ処理装置４に認証を受けた後、データ送信要求を行う。データ処理装置４は送信要求を受け付けると、車外通信用バッファ１６ｂに記憶されているエンジン水温のデータをＲＳＡで暗号化処理し、無線通信モジュール２１を通じて携帯端末８に送信する。すると、携帯端末８は、データ処理装置４からエンジン水温のデータを受信できる。

　以上説明したように、本実施形態によれば、アクセス制御リスト記憶部１８は車外出力用のデータ処理方法を分類レベルＩ～ＩＶに応じて記憶しており、データ処理装置４はこの分類レベルＩ～ＩＶに応じたデータ処理方法に基づいて変換された変換後データを車外接続用スタック１９から出力している。これにより、車内に記憶される車両データのセキュリティ性を高めることができる。

　例えば、車両毎又は車両データ毎に、セキュリティ対策を設定すると、設定工数だけでなく、品質確保にも莫大な工数を要してしまうが、本実施形態では、車両データの種別に応じて分類された一群のデータグループ毎に管理しており、これらを分類レベルＩ～ＩＶに分けて管理している。

　このため、新たなセキュリティポリシーが策定された場合であっても、車両データに対して個別にセキュリティレベルを設定変更する必要がなくなる。また、車両データを追加する場合であっても、予め分類された一群の分類レベルＩ～ＩＶ内に属させる設定を行うだけで対応できる。

　車両用装置の開発企業は、当該装置を開発する中で車両データを新たにパラメータとして定義し、当該車両データを用いて開発を行うこともある。この中で、本実施形態に示したように、車両データを分類レベルＩ～ＩＶに分類することでセキュリティレベルを確保することができるが、多数の開発企業が開発に参加する中で、これらのセキュリティ方針がこれらの多数の開発企業間で異なることがある。

　そこで、本実施形態によれば、車両データを分類レベルＩ～ＩＶにおいてグルーピングし、情報制御部１７が、アクセス制御リスト記憶部１８に記憶されたアクセス制御リストＬの分類レベルＩ～ＩＶの何れかに車両データを変更設定可能にされている。これにより、開発企業ごとにセキュリティ方針が互いに異なっていたとしても、これらの開発企業の要望に合わせたセキュリティレベルに変更できるようになり、これらの方針に合わせて柔軟に対応できる。

　車外通信用バッファ１６ｂは予め処理された変換後データを記憶しており、外部から車両データが要求されたときに変換後データを出力しているため、外部からデータ送信要求されたときであっても即座に対応できる。

　また、車外通信用バッファ１６ｂは、車両データの分類レベルＩ～ＩＶ毎に予め処理された変換後データをアクセス制御リスト記憶部１８のアクセス制御リストＬに記憶される更新タイミングで記憶する。このため、更新周期が、ＣＡＮによるデータ更新周期と同期していても、その基本周期より大きい更新周期Ａ２となっていたとしても、変換後データを車外通信用バッファ１６ｂに予め用意することができ、外部からデータ送信要求されたときに即座に対応できる。

　また、マイコン１３は、データの更新周期に応じてデータ更新タイミングを変更して例えば更新周期Ａ２とし、車両データの内部更新タイミングと車両データの出力タイミングとを非同期化してデータ出力している。このため、車両制御の周期、ＥＣＵ３によるアクチュエータの制御タイミングなどを外部から推定しにくくできる。

　また、車両データの属性に応じてデータ加工処理しているため、車両の制御内容などの機密性、セキュリティ性の高い情報を車外から把握されないようにすることができる。

　（第２実施形態）
　図９～図１０は第２実施形態を示す。第２実施形態では車外通信用バッファ１６ｂを設けることなく構成した形態を示す。第１実施形態では、データ処理装置４が携帯端末８又はセンタ装置６などの装置から送信要求を受け付ける前に、データ処理装置４がデータを予め加工処理し車外通信用バッファ１６ｂに記憶させる形態を示した。第２実施形態では、データ処理装置１０４が装置８又は６から送信要求を受け付けるときに、データ処理装置１０４がデータを加工処理する形態を示す。

　図１のデータ処理装置４に代えて図９に示すデータ処理装置１０４は、データ記憶部１６に代わるデータ記憶部１１６として車内通信用バッファ１６ａを備えているが、車外通信用バッファ１６ｂを備えていない。図５に代わる図１０にフローチャートを示すように、データ処理装置１０４内のマイコン１３は、車内ネットワーク５を通じてデータをフレーム単位で取り出し（Ｗ１）、車内通信用バッファ１６ａにデータコピーする（Ｗ２）ところまでは、図５に示すステップＴ１、Ｔ２の処理と同様であるが、マイコン１３は、ここで予めデータを加工処理することなく待機する。

　データ処理装置１０４内の情報制御部１７は、データ送信要求があったときに（Ｗ３：ＹＥＳ）、車内通信用バッファ１６ａからデータを取得し（Ｗ４）、データ加工処理を行う（Ｗ５）。このデータ加工処理の内容は、図６の処理と同様であるため説明を省略する。このデータ加工処理後のデータは、車外接続用スタック１９に直接格納される。そして、マイコン１３は、車外接続用スタック１９から車外接続用通信コントローラ１２に書き込み（Ｗ６）、車外接続用通信コントローラ１２は無線通信モジュール２１などを通じて、外部の携帯端末８又はセンタ装置６などの送信要求元の装置にデータを出力する（Ｗ７）。このようにして、データ要求されたときには送信要求元の装置６又は８にデータを出力できる。

　以上説明したように、本実施形態によれば、マイコン１３は、外部から車両データが要求されたときにアクセス制御リストＬに記載されたデータ処理方法に応じて車両データを変換している。このような場合であっても、分類レベルＩ～ＩＶに応じて車両データのデータ処理方法を変更することができ、車両データのセキュリティレベルを分類レベルＩ～ＩＶに応じて変更できる。これにより、前述実施形態と同様の効果を奏する。

　（第３実施形態）
　図１１～図１２Ｂは第３実施形態を示す。第３実施形態では、データの送信要求元、または、アプリケーション分類ごとにセキュリティ対策を施す形態を示す。第１実施形態では車両データの分類レベルＩ～ＩＶ毎にセキュリティ対策を変更した形態を示したが、本実施形態では、これに加えて、データの送信要求元、または、アプリケーションのユースケースごとに、セキュリティ対策を変更可能にする。

　携帯端末８又はセンタ装置６などの外部装置には、アプリケーションが組込まれており、このアプリケーションが動作することで車外から車内のデータ処理装置４にアクセス可能になる。このアクセス元は、その携帯端末８やセンタ装置６のＩＤ属性などの情報（端末情報、デバイス情報）、その所持者の個人情報（プライバシ情報）、使用アプリケーションなど、に応じて変化するが、前述実施形態に示したように、送信要求元のＩＤ情報はデータ送信要求前に事前登録される（図４及びその説明参照）。

　この場合、アクセス権（アクセス可否、セキュリティ対策方法（データ処理方法））をこれらのデバイス毎、アプリケーション毎、アプリケーションの利用者（使用者）毎、又は、アプリケーションの開発者毎、に設定しても良い。また、これらのユーザの例えば開発者の職種、所属などのグループ毎、又は／及び、アプリケーションの例えばカテゴリ、ジャンルなどのグループ毎に設定しても良い。

　例えば、データ要求元をセンタ装置６とした場合、このセンタ装置６のオペレータに対しては、セキュリティレベル（分類レベル）を低く保ち、携帯端末８の借受人（例えば、宅配業者などのサービス提供業者）に対しては、セキュリティレベル（分類レベル）を高くすると良い。

　また、別の観点を考慮したとき、データ要求元をセンタ装置６のデバイスとし、センタ装置６と車両２との間の通信網７のセキュリティ（秘匿性等）が十分確保されている場合、逆に、センタ装置６に対してはセキュリティレベル（分類レベル）を低く保ち、データ要求元が携帯端末８のデバイスであったときに、車外通信９のセキュリティが十分確保されていないときには、逆に携帯端末８に対してはセキュリティレベル（分類レベル）を高くすると良い。

　このとき、さらに細かくセキュリティ対策する場合、第１実施形態に示した分類レベルＩ～ＩＶと、人物又はアプリケーションの分類レベル等とで複数次元的に分類しても良い。図１２Ａには分類レベルの概要を示しており、図１２Ｂには、複数次元的に分類した形態を示している。これらの図１２Ａ及び図１２Ｂに示す内容は、アクセス制御リスト記憶部１８にアクセス制御リストＬとして記憶されている。

　縦軸には、第１実施形態で説明した分類レベルＩ～ＩＶを示しており、横軸にはアプリケーションの分類レベルＸ～Ｚを示している。ただし、縦軸の分類レベルＩ～ＩＶは個々のレベルが２つに細分化されたレベル（図１２Ｂ中の縦軸において、「＿１」が付された分類レベルはセキュリティレベル低、「＿２」が付された分類レベルはセキュリティレベル高）を示している。

　横軸を人物の分類と考慮すれば、この横軸の分類レベルＸは、例えば携帯端末８のオーナー、センタ装置６の信頼されたオペレータなど、データを扱う権限が比較的高い人物等のＩＤ情報に割り当てられる。また、横軸の分類レベルＹは、車体販売業者（ディーラー）など所有者ほどの権限は有していないものの、比較的信頼性の高い人物等のＩＤ情報に割り当てられる。また、横軸の分類レベルＺは、携帯端末８の借入者、宅配業者などの特定サービス提供業者のＩＤ情報に対し割り当てられ、例えばオーナーに比較すると信頼性の低い人のＩＤ情報に割り当てられる。

　また、横軸をアプリケーション分類と考慮すれば、横軸の分類レベルＸは個人認証の必要なアプリケーション（例えばログインパスワード必要なアプリケーション）などであり、分類レベルＹ、Ｚは例えば一般人が誰でも使用可能なアプリケーション、などに割り当てられる。また、これらの分類は、人物のグループ毎、または、アプリケーションのグループ毎に分けても良い。

　この図１２Ｂの２次元セキュリティレベルに示すように、分類レベルＸのセキュリティレベルを低い傾向とし、分類レベルＺのセキュリティレベルを高い傾向として設定している。これは、信頼性の高い人物またはアプリケーションから車両データが送信要求された場合にはセキュリティを低く保っても良く、信頼性の低い人物またはアプリケーションから車両データが送信要求された場合には、セキュリティを高く保つ必要があるためである。

　図１１にデータ処理装置４によるデータ処理方法を概略的に示すように、データ処理装置は、データ要求元（機器ＩＤ）、対象データ名（データＩＤ）を取得すると（Ｘ１）、図１２Ａ、図１２Ｂに示すアクセス制御リストＬからデータの分類レベルＩ～ＩＶ、Ｘ～Ｚを取得し（Ｘ２）、アクセス制御リストＬに記載された分類レベルに応じて、分解能演算し（Ｘ３）、暗号化処理を行う（Ｘ４）。そして、データ処理装置４中のマイコン１３は、この加工後の車両データをデータ要求元に対して送信する。この場合、第１実施形態に示したように車外通信用バッファ１６ｂに予め処理された変換後データを用意しておいても良いし、第２実施形態に示したように車外通信用バッファ１６ｂを設けず外部からデータ送信要求を受け付けたときにデータ変換処理してデータ要求元に送信しても良い。このようにして、本実施形態の処理を実現する。

　本実施形態によれば、アクセス制御リスト記憶部１８が、車両データを要求するアプリケーションまたは当該アプリケーションを分類したアプリケーショングループ毎にアクセス制御リストＬ内にデータ処理方法を記憶している場合には、情報制御部１７はこのアプリケーションまたはそのグループ毎にデータ処理方法を分けて車両データを変換、加工することができる。これによりセキュリティ性を高めることができる。

　また、アクセス制御リスト記憶部１８が、車両データを使用するユーザまたはそのグループ毎にデータ処理方法を記憶している場合には、情報制御部１７はこのユーザまたはそのグループ毎にデータ処理方法を分けて車両データを変換、加工することができる。これによりセキュリティ性を高めることができる。

　また、アクセス制御リスト記憶部１８が、第１実施形態に示した分類レベルＩ～ＩＶ毎で、且つ、アプリケーション又はそのグループ毎にデータ処理方法を複数次元的に記憶している場合には、例えば第１実施形態の処理に比較してセキュリティ性を高めることができる。

　また、アクセス制御リスト記憶部１８が、第１実施形態に示した分類レベルＩ～ＩＶ毎で、且つ、ユーザ又はそのグループ毎にデータ処理方法を複数次元的に記憶している場合には、例えば第１実施形態の処理に比較してセキュリティ性を高めることができる。

　車外通信用バッファ１６ｂが、車両データを要求するアプリケーションまたはそのアプリケーションを分類したアプリケーショングループ毎に予め処理された変換後データを記憶する場合には、外部からデータ送信要求されたときに即座に対応することができる。

　車外通信用バッファ１６ｂが、車両データを要求するユーザまたはそのグループ毎に予め処理された変換後データを記憶する場合には、外部からデータ送信要求されたときに即座に対応することができる。

　（他の実施形態）
　本開示は前述の実施形態に限定されるものではなく、例えば、以下に示す変形又は拡張が可能である。

　アクセス制御リスト記憶部１８は、分類レベルＩ～ＩＶに応じたデータ処理方法そのものを記憶する形態を示したが、これらの分類レベルＩ～ＩＶに応じたデータ処理方法のＩＤ情報などを記憶しこれらのデータ処理方法の詳細は別途記憶されていても良い。本開示の「データ処理方法」にはこの内容も含まれるものである。

　例えば、車両２内には盗難に備えて侵入センサ（図示せず）が設置されることもある。このような場合、この侵入センサのセンサ情報は車内ネットワーク５を通じて車内通信用バッファ１６ａに蓄積される。車両２に設置された侵入センサ（図示せず）による例えば侵入検知に係る内部イベントが発生すると、マイコン１３が車両データを外部のセンタ装置６に自主的に出力する形態に適用しても良い。このような場合でも前述形態に示した効果を奏する。前述した各実施形態の構成は個別又は組み合わせて適用できる。

　データ処理装置４、１０４は、本開示の車両用データ変換装置に対応し、車内通信用バッファ１６ａは取得部に対応し、車外通信用バッファ１６ｂは第２記憶部に対応し、情報制御部１７は変換部に対応し、アクセス制御リスト記憶部１８は第１記憶部に対応し、車外接続用スタック１９は出力部に対応する。

　この出願に記載されるフローチャート、あるいは、フローチャートの処理は、複数のステップ（あるいはセクションと言及される）から構成され、各ステップは、たとえば、Ｓ１、Ｕ１、Ｔ１、Ｖ１、Ｗ１、Ｘ１と表現される。さらに、各ステップは、複数のサブステップに分割されることができる、一方、複数のステップが合わさって一つのステップにすることも可能である。

　以上、車両用データ変換装置及び車両用データ出力方法の実施形態、構成、態様を例示したが、本開示に係わる実施形態、構成、態様は、上述した各実施形態、各構成、各態様に限定されるものではない。例えば、異なる実施形態、構成、態様にそれぞれ開示された技術的部を適宜組み合わせて得られる実施形態、構成、態様についても本開示に係わる実施形態、構成、態様の範囲に含まれる。

 

Claims (14)

1. 　車両内から車両データを取得する取得部（１６ａ）と、
   　前記取得部により取得される車両データに対応した分類レベルに応じた車外出力用のデータ処理方法を記憶する第１記憶部（１８）と、
   　前記第１記憶部により記憶されたデータ処理方法に応じて変換された車両データを出力する出力部（１９）と、を備える車両用データ変換装置。
2. 　前記第１記憶部は、前記車両データに応じて分類されたグループ毎にデータ処理方法を記憶する請求項１記載の車両用データ変換装置。
3. 　前記第１記憶部は、セキュリティ方針変更に応じて前記車両データに対応したデータ処理方法を変更設定可能である請求項１または２記載の車両用データ変換装置。
4. 　前記第１記憶部は、前記車両データを要求するアプリケーションまたは当該アプリケーションを分類したアプリケーショングループ毎にデータ処理方法を記憶する請求項１記載の車両用データ変換装置。
5. 　前記第１記憶部は、前記車両データを使用するユーザまたはそのグループ毎にデータ処理方法を記憶する請求項１又は４記載の車両用データ変換装置。
6. 　前記第１記憶部は、前記車両データに応じて分類された分類レベル毎で、且つ、前記車両データを要求するアプリケーション又は当該アプリケーションを分類したアプリケーショングループ毎にデータ処理方法を記憶する請求項１記載の車両用データ変換装置。
7. 　前記第１記憶部は、前記車両データに応じて分類された分類レベル毎で、且つ、前記車両データを使用するユーザのグループ毎にデータ処理方法を記憶する請求項１又は６記載の車両用データ変換装置。
8. 　前記第１記憶部は、前記データ処理方法として、前記車両データの分解能処理方法、データの更新周期、データの暗号化方法、データの改竄検知、の何れか、または、これらの何れか２つ以上の組合せの方法を記憶する請求項１～７の何れか一項に記載の車両用データ変換装置。
9. 　前記第１記憶部に記憶された前記データ処理方法により予め処理された変換後データを記憶する第２記憶部（１６ｂ）をさらに備え、
   　前記出力部は、外部から車両データが要求されたときに前記第２記憶部に記憶された変換後データを出力する請求項１記載の車両用データ変換装置。
10. 　前記第２記憶部は、前記車両データを要求するアプリケーション又は当該アプリケーションを分類したアプリケーショングループ毎に予め処理された変換後データを記憶する請求項９記載の車両用データ変換装置。
11. 　前記第２記憶部は、前記車両データを使用するユーザまたはそのグループ毎に予め処理された変換後データを記憶する請求項９記載の車両用データ変換装置。
12. 　前記第１記憶部は、前記データ処理方法として分類レベルに応じた更新タイミングを記憶するものであり、
    　前記第２記憶部は、前記車両データの分類レベル毎に予め処理された変換後データを前記第１記憶部に記憶される更新タイミングで記憶する請求項９記載の車両用データ変換装置。
13. 　外部から車両データが要求されたときに前記第１記憶部に記憶されたデータ処理方法に応じて変換する変換部（１７）をさらに備える請求項１～８の何れか一項に記載の車両用データ変換装置。
14. 　車両内から車両データを取得し、
    　前記車両データに対応して予め第１記憶部に記憶されたデータ処理方法に応じて変換された車両データを出力する車両用データ出力方法。
    
     

Images