WO2019012888A1

WO2019012888A1 - 車載装置、管理方法および管理プログラム

Info

Publication number: WO2019012888A1
Application number: PCT/JP2018/022350
Authority: WO
Inventors: 小川明紘; 浦山博史; 萩原剛志; 藪内靖弘
Original assignee: 住友電気工業株式会社; 株式会社オートネットワーク技術研究所; 住友電装株式会社
Priority date: 2017-07-12
Filing date: 2018-06-12
Publication date: 2019-01-17
Also published as: CN110892683A; JP6852604B2; JP2019021973A; US11938897B2; US20200361412A1; CN110892683B

Abstract

車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。

Description

車載装置、管理方法および管理プログラム

　本発明は、車載装置、管理方法および管理プログラムに関する。
　この出願は、２０１７年７月１２日に出願された日本出願特願２０１７－１３５８４４号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（国際公開第２０１３／５１１２２号）には、以下のような車載ネットワークシステムが開示されている。すなわち、車載ネットワークシステムは、車両内部機器と車両外部機器との間のデータ中継を行う中継装置を備える車載ネットワークシステムであって、自車両が走行状態にある場合に、前記中継装置による前記データ中継を禁止する中継制御手段を備える。

国際公開第２０１３／５１１２２号

"ＩＴ用語辞典　ｅ－Ｗｏｒｄｓ"、［ｏｎｌｉｎｅ］、［平成２９年５月１日検索］、インターネット〈ＵＲＬ：ｈｔｔｐ：／／ｅ－ｗｏｒｄｓ．ｊｐ／ｗ／耐タンパー性．ｈｔｍｌ〉

　（１）本開示の車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。

　（８）本開示の管理方法は、車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記車両が所定の停車状態であるか否かを判定するステップと、判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む。

　（９）本開示の管理プログラムは、車両に搭載される車載装置において用いられる管理プログラムであって、コンピュータを、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部、として機能させるためのプログラムであり、前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。

　本開示の一態様は、このような特徴的な処理部を備える車載装置として実現され得るだけでなく、車載装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、車載装置の一部または全部を実現する半導体集積回路として実現され得る。

図１は、本発明の実施の形態に係る車載通信システムの構成を示す図である。図２は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図３は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が起動要求を受信した際の動作手順を定めたフローチャートである。図４は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が取得処理を行う際の動作手順を定めたフローチャートである。図５は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が監視処理を行う際の動作手順を定めたフローチャートである。

　従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。

　［本開示が解決しようとする課題］
　特許文献１に記載の車載ネットワークシステムでは、自車両が走行状態にある場合に車両外部機器との通信を遮断することで、車両外部機器による不正アクセスを防止する。しかしながら、中継装置では、中継機能よりも管理機能にセキュリティ上の脆弱性を抱えることが多い。具体的には、たとえば、中継を許可するパケットの種類が不正に書き換えられると、不正なパケットも中継されて車両内部機器に送信されるため、車両内部機器が車両の外部から攻撃に対して無防備になってしまう。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおいて、良好な通信を提供することが可能な車載装置、管理方法および管理プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおいて、良好な通信を提供することができる。

　［本願発明の実施形態の説明］
　最初に、本発明の実施形態の内容を列記して説明する。

　（１）本発明の実施の形態に係る車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。

　このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。

　（２）好ましくは、前記車載装置は、さらに、前記外部装置に対する認証処理を行う認証部を備え、前記処理部は、前記判定部が肯定的な判定を行い、かつ前記認証処理が成功した場合に前記取得処理を行う。

　たとえば、外部装置が不正な装置である場合、外部装置に対する認証処理が失敗する可能性が高い。上記の構成により、不正な外部装置が制御用情報を悪用する可能性をより低減することができる。

　（３）好ましくは、前記セキュア領域に前記判定部が含まれる。

　このように、容易にアクセスすることが困難なセキュア領域に判定部が含まれる構成により、判定部をハッキングから守ることができるので、たとえば、判定部を不正に操作することで判定部に肯定的な判定を行わせ、制御用情報を不正に取得することを防ぐことができる。

　（４）より好ましくは、セキュア領域の内部に第１の前記判定部が含まれ、かつ前記セキュア領域の外部に第２の前記判定部が含まれ、前記処理部は、前記第１の判定部および前記第２の判定部の両方が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記取得処理を行う。

　このような構成により、たとえば、第１の判定部および第２の判定部のいずれか一方が不正に操作されて肯定的な判定を強制されても、不正な操作から逃れた判定部が正しい判定を行うことができるので、制御用情報を不正に取得することをより確実に防ぐことができる。

　（５）好ましくは、前記所定の停車状態は、駐車状態である。

　このように、所定の停車状態を駐車状態とする構成により、たとえば、制御用情報が悪用され、車載装置が乗っ取られて遠隔操作されても、車両が駐車状態であるので車両の暴走を防ぐことができる。

　（６）好ましくは、前記処理部は、前記車両が動き出した場合、または前記制御用情報の使用を終了した場合に、前記制御用情報を破棄する。

　このように、制御用情報を使用すべきでない場合、または制御用情報を使用しない場合に、制御用情報を破棄する構成により、制御用情報が悪用される機会を低減することができる。

　（７）好ましくは、前記処理部は、前記判定部が否定的な判定を行った場合、前記制御用情報により実現される機能の、前記外部装置からの起動要請を拒否する旨の応答を行う。

　このような構成により、車両において制御用情報の使用が制限されていることを、制御用情報の使用を要請した外部装置に通知することができる。

　（８）本発明の実施の形態に係る管理方法は、車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記車両が所定の停車状態であるか否かを判定するステップと、判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む。

　（９）本発明の実施の形態に係る管理プログラムは、車両に搭載される車載装置において用いられる管理プログラムであって、コンピュータを、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部、として機能させるためのプログラムであり、前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。

　以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　図１は、本発明の実施の形態に係る車載通信システムの構成を示す図である。

　図１を参照して、車載通信システム３０１は、ゲートウェイ装置（車載装置）１０１と、複数の機能部１１１と、複数の機能部１６１とを備える。車載通信システム３０１は、車両１に搭載される。

　機能部１１１は、たとえば、自動運転ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、センサ、ナビゲーション装置、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、セントラルゲートウェイ（ＣＧＷ）、ヒューマンマシンインタフェース、およびカメラ等である。

　ゲートウェイ装置１０１および機能部１１１は、たとえば、車載のイーサネット（登録商標）通信用のケーブル（以下、イーサネットケーブルとも称する。）１０により互いに接続されている。

　ゲートウェイ装置１０１および機能部１１１は、イーサネットケーブル１０を用いて互いに通信する。ゲートウェイ装置１０１および機能部１１１間では、たとえば、ＩＥＥＥ８０２．３に従うイーサネットフレームを用いて情報のやり取りが行われる。

　機能部１６１は、たとえば、エンジン、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）、ブレーキおよびエアコン等の制御装置、ならびに各種センサである。

　ゲートウェイ装置１０１は、たとえばＣＡＮの規格に従うバス（以下、ＣＡＮバスとも称する。）１１を介して機能部１６１と接続されている。

　ＣＡＮバス１１は、たとえば系統別に設けられる。具体的には、ＣＡＮバス１１は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バス等である。

　ゲートウェイ装置１０１および機能部１６１は、ＣＡＮバス１１を用いて互いに通信する。ゲートウェイ装置１０１および機能部１６１間では、たとえば、ＣＡＮの通信規格に従うメッセージを用いて情報のやり取りが行われる。

　ゲートウェイ装置１０１は、車載ネットワークにおけるデータを中継する中継処理を行う。

　より詳細には、ゲートウェイ装置１０１は、たとえば、異なるＣＡＮバス１１にそれぞれ接続された機能部１６１間におけるデータの中継処理、各機能部１１１間におけるデータの中継処理、ならびに機能部１１１および機能部１６１間におけるデータの中継処理を行う。

　なお、ゲートウェイ装置１０１は、イーサネットケーブル１０およびＣＡＮバス１１を介して機能部１１１，１６１と接続される構成に限らず、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスを介して機能部１１１，１６１と接続される構成であってもよい。

　図２は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図２を参照して、ゲートウェイ装置１０１は、運用領域５１と、セキュア領域５２と、中継部５３と、外部装置用ポート５４とを備える。運用領域５１は、処理部２１と、車両状態判定部２２と、認証部２３とを含む。セキュア領域５２は、セキュア制御部３１と、車両状態判定部３２と、セキュア記憶部３３とを含む。

　外部装置用ポート５４には、たとえば、外部装置の一例である管理ツールが接続可能である。管理ツールは、たとえば、ゲートウェイ装置１０１および機能部１１１，１６１におけるファームウェアの更新および検査を行う。

　中継部５３は、車載ネットワークにおけるデータを中継する中継処理を行う。また、たとえば、管理ツールが外部装置用ポート５４を介してゲートウェイ装置１０１に接続された場合、中継部５３は、管理ツールと通信を行う。

　中継部５３は、自己宛の情報を管理ツールから受信すると、受信した情報を運用領域５１へ出力する。また、中継部５３は、管理ツール宛の情報を運用領域５１から受けると、受けた情報を管理ツールへ送信する。また、中継部５３は、管理ツールと機能部１１１および機能部１６１との間におけるデータを中継する。

　セキュア領域５２は、たとえば、セキュアＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。セキュア領域５２におけるセキュア記憶部３３は、制御用情報の一例である管理プログラムを記憶する。管理プログラムは、たとえば、処理部２１に管理機能を実現させるためのプログラムである。

　ここで、管理機能は、たとえば、コマンド操作するためのコンソールを管理ツールに提供するための機能、ゲートウェイ装置１０１および管理ツール間の通信を行うための機能、ならびに中継部５３におけるフィルタ設定等を行うための機能を含む。フィルタ設定により、中継を許可すべきメッセージおよびイーサネットフレームの種類が設定される。

　また、セキュア記憶部３３は、たとえば、非特許文献１（“ＩＴ用語辞典　ｅ－Ｗｏｒｄｓ”、［ｏｎｌｉｎｅ］、［平成２９年５月１日検索］、インターネット〈ＵＲＬ：ｈｔｔｐ：／／ｅ－ｗｏｒｄｓ．ｊｐ／ｗ／耐タンパー性．ｈｔｍｌ〉）に記載の耐タンパー性を有している。

　ここで、耐タンパー性は、ソフトウェアおよびハードウェアが備える、内部構造およびデータ等の解析の困難さを表す。言い換えると、耐タンパー性は、非正規な手段による機密データの読み取りを防ぐ能力である。この例では、セキュア記憶部３３に保存された管理プログラムは、所定の暗号方式に従ってセキュア制御部３１によって暗号化されている。

　たとえば、管理ツールが外部装置用ポート５４を介してゲートウェイ装置１０１に接続された状況を想定する。

　管理ツールは、たとえば、管理プログラムの起動要請を示す起動要求をゲートウェイ装置１０１へ送信する。

　ゲートウェイ装置１０１における中継部５３は、管理ツールから外部装置用ポート５４経由で起動要求を受信すると、受信した起動要求を運用領域５１へ出力する。

　運用領域５１は、たとえば、ＭＰＵ（Ｍｉｃｒｏ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　運用領域５１における処理部２１は、中継部５３から起動要求を受けると、自己の車両１の状態を判定させる判定命令を車両状態判定部２２へ出力する。

　車両状態判定部２２は、自己の車両１が所定の停車状態であるか否かを判定する。ここで、停車状態は、たとえば、車両１の速度が所定のしきい値未満の状態である。当該所定のしきい値は、たとえば１キロメートル毎時である。停車状態には様々な状態があり、停車状態の一例として駐車状態がある。

　本実施の形態では、所定の停車状態は駐車状態であるとして、以下説明する。すなわち、本実施の形態では、車両状態判定部２２は、たとえば、自己の車両１が駐車状態であるか否かを判定する。

　より詳細には、車両状態判定部２２には、監視対象とすべきメッセージ（以下、判定用メッセージとも称する。）がたとえばユーザにより登録されている。

　具体的には、判定用メッセージは、たとえば、オートマチックギアのシフトレンジを示す情報を含むメッセージ、サイドブレーキの状態を示す情報を含むメッセージ、フットブレーキの状態を示す情報を含むメッセージ、および車速情報を含むメッセージ等である。

　車両状態判定部２２は、中継部５３が中継するメッセージを監視し、中継部５３が判定用メッセージを中継する際、判定用メッセージを中継部５３から取得し、取得した判定用メッセージに基づいて自己の車両１の状態を判定する。

　具体的には、車両状態判定部２２は、たとえば、所定条件Ｃ１～Ｃ４のうちの少なくともいずれか１つが満たされた場合、自己の車両１が所定の停車状態すなわち駐車状態であると判定する。

　ここで、所定条件Ｃ１は、たとえばシフトレンジがパーキングの位置にある状態であることである。

　所定条件Ｃ２は、たとえば、シフトレンジがニュートラルの位置にあり、かつサイドブレーキが作動している状態であることである。

　所定条件Ｃ３は、たとえば、シフトレンジがニュートラルの位置にあり、かつフットブレーキが作動している状態であることである。

　所定条件Ｃ４は、たとえば、シフトレンジがニュートラルの位置にあり、かつ車速がゼロの状態であることである。

　一方、車両状態判定部２２は、所定条件Ｃ１～Ｃ４のうちのいずれも満たされない場合、自己の車両１が所定の停車状態でないと判定する。

　車両状態判定部２２は、処理部２１から判定命令を受けると、判定結果を示す判定結果情報を作成し、作成した判定結果情報を処理部２１へ出力する。

　処理部２１は、たとえば、車両状態判定部２２が否定的な判定を行った場合、管理プログラムにより実現される機能の、管理ツールからの起動要求を拒否する旨の応答を行う。

　一方、処理部２１は、たとえば、車両状態判定部２２が肯定的な判定を行い、かつ認証処理が成功した場合、セキュア領域５２にアクセスし、管理ツールがゲートウェイ装置１０１を制御するための管理プログラムをセキュア領域５２から取得する取得処理を行う。

　より詳細には、処理部２１は、判定命令の応答として判定結果情報を車両状態判定部２２から受けると、以下の処理を行う。

　すなわち、処理部２１は、判定結果情報が自己の車両１が所定の停車状態でないことを示す場合、起動要求の拒絶を示す拒絶情報を中継部５３および外部装置用ポート５４経由で管理ツールへ送信する。

　一方、処理部２１は、判定結果情報が自己の車両１が所定の停車状態であることを示す場合、管理ツールを認証させる認証命令を認証部２３へ出力する。

　認証部２３は、たとえば、外部装置に対する認証処理を行う。より詳細には、認証部２３は、認証命令を処理部２１から受けると、中継部５３および外部装置用ポート５４を介して管理ツールと認証用のＩＰパケットをやり取りすることにより管理ツールの認証を試みる。

　認証部２３は、管理ツールの認証に成功した場合、認証成功情報を処理部２１へ出力する。一方、認証部２３は、管理ツールの認証に失敗した場合、認証失敗情報を処理部２１へ出力する。

　セキュア領域５２は、耐タンパー性の一例として、処理部２１が所定の情報を出力した場合に処理部２１からアクセス可能である。

　より詳細には、セキュア領域５２におけるセキュア記憶部３３は、たとえば、処理部２１が所定の情報を出力した場合に処理部２１からのアクセスが許可される。

　この例では、セキュア記憶部３３は、処理部２１が所定の手順Ｐ１に従った場合に処理部２１からアクセス可能であり、手順Ｐ１に従わない場合にはアクセスできない。

　より詳細には、セキュア制御部３１は、セキュア記憶部３３にアクセス可能である。一方、処理部２１は、セキュア領域５２におけるセキュア制御部３１により認証された場合にしかセキュア記憶部３３にアクセスできない。

　処理部２１は、認証命令の応答として認証成功情報を認証部２３から受けると、たとえば、セキュア記憶部３３にアクセスするためのアクセス要求をセキュア領域５２へ出力する。

　セキュア領域５２におけるセキュア制御部３１は、処理部２１からアクセス要求を受けると、自己の車両１の状態を判定させる判定命令を車両状態判定部３２へ出力する。

　車両状態判定部３２は、車両１が所定の停車状態であるか否かを判定する。より詳細には、車両状態判定部３２には、車両状態判定部２２と同様に、判定用メッセージがたとえばユーザにより登録されている。

　車両状態判定部３２は、中継部５３が中継するメッセージを監視し、中継部５３が判定用メッセージを中継する際、判定用メッセージを中継部５３から取得し、取得した判定用メッセージに基づいて自己の車両１の状態を判定する。

　具体的には、車両状態判定部３２は、たとえば、所定条件Ｃ１～Ｃ４のうちの少なくともいずれか１つが満たされた場合、自己の車両１が所定の停車状態であると判定する。

　一方、車両状態判定部３２は、所定条件Ｃ１～Ｃ４のうちのいずれも満たされない場合、自己の車両１が所定の停車状態でないと判定する。

　車両状態判定部３２は、セキュア制御部３１から判定命令を受けると、判定結果を示す判定結果情報を作成し、作成した判定結果情報をセキュア制御部３１へ出力する。

　セキュア制御部３１は、判定命令の応答として判定結果情報を車両状態判定部３２から受けると、以下の処理を行う。

　すなわち、セキュア制御部３１は、判定結果情報が自己の車両１が所定の停車状態でないことを示す場合、アクセス不許可を示す不許可情報を処理部２１へ出力する。

　処理部２１は、アクセス要求の応答として不許可情報をセキュア制御部３１から受けると、セキュア領域５２へのアクセスに失敗したと認識し、拒絶情報を中継部５３および外部装置用ポート５４経由で管理ツールへ送信する。

　一方、セキュア制御部３１は、判定結果情報が自己の車両１が所定の停車状態であることを示す場合、認証情報の要求を示す認証情報要求を処理部２１へ出力する。

　処理部２１は、セキュア制御部３１から認証情報要求を受けると、受けた認証情報要求に従って、たとえば、専用鍵、パスワード、またはパスワードとＩＤとの組み合わせ等を含む認証情報をセキュア制御部３１へ出力する。

　セキュア制御部３１は、処理部２１から認証情報を受けると、受けた認証情報を認証する。セキュア制御部３１は、認証情報の認証に失敗した場合、不許可情報を処理部２１へ出力する。一方、セキュア制御部３１は、認証情報の認証に成功した場合、アクセス許可を示す許可情報を処理部２１へ出力する。

　処理部２１は、セキュア制御部３１から許可情報を受けた場合、セキュア制御部３１を介してセキュア記憶部３３へのアクセスが可能となるが、セキュア制御部３１から不許可情報を受けた場合、セキュア記憶部３３へのアクセスがセキュア制御部３１によってブロックされる。

　なお、セキュア制御部３１による処理部２１の認証は、上記の手順Ｐ１に従う構成に限らず、たとえば、処理部２１がアクセス要求を送信せずにいきなり認証情報をセキュア制御部３１へ送信し、セキュア制御部３１が、処理部２１から受けた認証情報を認証する構成であってもよい。

　処理部２１は、認証情報の応答として不許可情報をセキュア制御部３１から受けると、認証に失敗したと認識し、拒絶情報を中継部５３および外部装置用ポート５４経由で管理ツールへ送信する。

　一方、処理部２１は、認証情報の応答として許可情報をセキュア制御部３１から受けると、認証に成功したと認識し、管理プログラムをセキュア制御部３１に要求する。

　セキュア制御部３１は、処理部２１の要求に応じて、暗号化された管理プログラムをセキュア記憶部３３から取得し、所定の暗号方式に従って管理プログラムを復号する。そして、セキュア制御部３１は、復号後の管理プログラムを処理部２１へ出力する。

　処理部２１は、セキュア制御部３１から管理プログラムを受けると、受けた管理プログラムを使用する。

　より詳細には、処理部２１は、たとえば、管理プログラムを保持し、保持した管理プログラムに基づいて、管理プログラムのインスタンスであるプロセス（以下、対象プロセスとも称する。）を生成する。なお、処理部２１は、たとえば、管理プログラムを図示しないＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）に保持してもよい。

　処理部２１は、たとえば、車両１が動き出した場合、または管理プログラムの使用を終了した場合に、管理プログラムを破棄する。

　より詳細には、処理部２１は、管理プログラムを使用する際に、車両状態判定部２２における判定結果の監視、および生成した対象プロセスの監視を開始する。そして、処理部２１は、監視結果に基づいて管理プログラムを破棄する。

　より詳細には、処理部２１は、たとえば、所定時間Ｔ１ごとに判定命令を車両状態判定部２２へ出力し、判定命令の応答として判定結果情報を車両状態判定部２２から受ける。

　処理部２１は、車両状態判定部２２から受けた判定結果情報が自己の車両１が所定の停車状態でないことを示す場合、保持している管理プログラムを破棄する。

　また、処理部２１は、監視している対象プロセスが消滅した場合、保持している管理プログラムを破棄する。なお、処理部２１は、管理プログラムを破棄する代わりに管理プログラムをセキュア記憶部３３へ戻してもよい。

　一方、処理部２１は、判定結果情報が自己の車両１が所定の停車状態であることを示す場合、および対象プロセスが消滅していない場合、管理プログラムの保持を継続する。

　［動作の流れ］
　ゲートウェイ装置は、コンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下に示すフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリから読み出して実行する。この装置のプログラムは、外部からインストールすることができる。この装置のプログラムは、記録媒体に格納された状態で流通する。

　図３は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が起動要求を受信した際の動作手順を定めたフローチャートである。

　図３を参照して、まず、ゲートウェイ装置１０１は、起動要求を管理ツールから受信するまで、メッセージおよびイーサネットフレームの中継処理を行う（ステップＳ１０２でＮＯ）。

　そして、ゲートウェイ装置１０１は、起動要求を管理ツールから受信すると（ステップＳ１０２でＹＥＳ）、運用領域５１において、自己の車両１が所定の停車状態であるか否かを判定する判定処理を行う（ステップＳ１０４）。

　次に、ゲートウェイ装置１０１は、自己の車両１が所定の停車状態である場合（ステップＳ１０６でＹＥＳ）、管理ツールを認証する認証処理を行う（ステップＳ１０８）。

　次に、ゲートウェイ装置１０１は、管理ツールの認証に成功した場合（ステップＳ１１０でＹＥＳ）、取得処理を行う（ステップＳ１１２）。

　また、ゲートウェイ装置１０１は、自己の車両１が所定の停車状態でない場合（ステップＳ１０６でＮＯ）、および管理ツールの認証に失敗した場合（ステップＳ１１０でＮＯ）、拒絶情報を管理ツールへ送信する（ステップＳ１１４）。

　図４は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が取得処理を行う際の動作手順を定めたフローチャートである。図４は、図３のステップＳ１１２における動作の詳細を示している。

　図４を参照して、まず、ゲートウェイ装置１０１は、セキュア領域５２へアクセス要求を出力する（ステップＳ２０２）。

　次に、ゲートウェイ装置１０１は、セキュア領域５２において、自己の車両１が所定の停車状態であるか否かを判定する判定処理を行う（ステップＳ２０４）。

　次に、ゲートウェイ装置１０１は、自己の車両１が所定の停車状態である場合（ステップＳ２０６でＹＥＳ）、セキュア領域５２へ認証情報を出力する（ステップＳ２０８）。

　次に、ゲートウェイ装置１０１は、認証情報が正当である場合（ステップＳ２１０でＹＥＳ）、セキュア記憶部３３へのアクセスが許可される（ステップＳ２１２）。

　次に、ゲートウェイ装置１０１は、セキュア記憶部３３から管理プログラムを取得し、取得した管理プログラムを保持して使用する（ステップＳ２１４）。

　次に、ゲートウェイ装置１０１は、車両１の状態および管理プログラムの使用状況を監視する監視処理を行う（ステップＳ２１６）。

　また、ゲートウェイ装置１０１は、自己の車両１が所定の停車状態でない場合（ステップＳ２０６でＮＯ）、および認証情報が正当でない場合（ステップＳ２１０でＮＯ）、セキュア記憶部３３へのアクセスが許可されない（ステップＳ２１８）。

　次に、ゲートウェイ装置１０１は、拒絶情報を管理ツールへ送信する（ステップＳ２２０）。

　図５は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が監視処理を行う際の動作手順を定めたフローチャートである。図５は、図４のステップＳ２１６における動作の詳細を示している。

　図５を参照して、まず、ゲートウェイ装置１０１は、所定時間Ｔ１ごとの運用領域５１における判定処理の結果の監視、および対象プロセスの監視を開始する（ステップＳ３０２）。

　次に、ゲートウェイ装置１０１は、自己の車両１が所定の停車状態であり、かつ対象プロセスが消滅していない場合、（ステップＳ３０４でＹＥＳおよびステップＳ３０６でＮＯ）、管理プログラムの保持および使用を継続する。

　一方、ゲートウェイ装置１０１は、自己の車両１が所定の停車状態でなくなった場合（ステップＳ３０４でＮＯ）、または対象プロセスが消滅した場合（ステップＳ３０６でＹＥＳ）、保持している管理プログラムを破棄する（ステップＳ３０８）。

　なお、本発明の実施の形態に係る車載通信システムでは、ゲートウェイ装置１０１が上述の動作を行う構成であるとしたが、これに限定するものではない。車載通信システム３０１において、機能部が上述の動作を行う構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置では、管理ツールが外部装置として外部装置用ポート５４に接続される構成であるとしたが、これに限定するものではない。外部装置用ポート５４には、スマートホンおよびナビゲーション装置等が外部装置として接続される構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置は、運用領域５１およびセキュア領域５２の両方において車両状態判定部を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置１０１は、運用領域５１およびセキュア領域５２のいずれか一方において車両状態判定部を備える構成であってもよい。しかしながら、たとえば、運用領域５１がハッキングされて認証情報が盗まれた場合においても、セキュア領域５２における車両状態判定部３２によって車両１の走行中における運用領域５１からの不正アクセスを拒絶することができるので、運用領域５１およびセキュア領域５２の両方において車両状態判定部を備える構成が好ましい。

　また、本発明の実施の形態に係るゲートウェイ装置は、認証部２３を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置１０１は、認証部２３を備えない構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置では、駐車状態を所定の停車状態とする構成であるとしたが、これに限定するものではない。たとえば、シフトレンジがドライブの位置にあり、かつサイドブレーキまたはフットブレーキが作動しているときのような車両１が一時停止している状態を所定の停車状態とする構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置では、車両状態判定部２２，３２は、所定条件Ｃ１～Ｃ４を用いて、自己の車両１が駐車状態であるか否かを判定する構成であるとしたが、これに限定するものではない。車両状態判定部２２，３２は、他の条件を用いて、自己の車両１が駐車状態であるか否かを判定する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置では、車両状態判定部２２，３２は、所定条件Ｃ１～Ｃ４のうちの少なくともいずれか１つが満たされた場合、自己の車両１が所定の停車状態であると判定する構成であるとしたが、これに限定するものではない。車両状態判定部２２，３２は、他の条件が満たされた場合に、自己の車両１が所定の停車状態であると判定する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置では、処理部２１は、車両１が動き出した場合、または管理プログラムの使用を終了した場合に、管理プログラムを破棄する構成であるとしたが、これに限定するものではない。処理部２１は、上記の場合に限らず、たとえば、管理プログラムの使用開始タイミングから所定時間経過後に当該管理プログラムを削除する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置では、処理部２１は、車両１が所定の停車状態でない場合に、拒絶情報を管理ツールへ送信する構成であるとしたが、これに限定するものではない。処理部２１は、上記の場合においても、拒絶情報を管理ツールへ送信しない構成であってもよい。

　ところで、特許文献１に記載の車載ネットワークシステムでは、自車両が走行状態にある場合に車両外部機器との通信を遮断することで、車両外部機器による不正アクセスを防止する。しかしながら、中継装置では、中継機能よりも管理機能にセキュリティ上の脆弱性を抱えることが多い。具体的には、たとえば、中継を許可するパケットの種類が不正に書き換えられると、不正なパケットも中継されて車両内部機器に送信されるため、車両内部機器が車両の外部から攻撃に対して無防備になってしまう。

　これに対して、本発明の実施の形態に係るゲートウェイ装置は、車両１に搭載される。車両状態判定部２２，３２は、車両１が所定の停車状態であるか否かを判定する。セキュア領域５２は、処理部２１が所定の情報を出力した場合に処理部２１からアクセス可能である。セキュア領域５２には、外部装置がゲートウェイ装置１０１を制御するための制御用情報が保存されている。そして、処理部２１は、車両状態判定部２２，３２が肯定的な判定を行った場合、セキュア領域５２にアクセスし、制御用情報をセキュア領域５２から取得する取得処理を行う。

　このように、車両１が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域５２から制御用情報を取得する構成により、制御用情報を使用すべきでない車両１の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両１の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時にゲートウェイ装置１０１が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。

　また、本発明の実施の形態に係るゲートウェイ装置では、認証部２３は、外部装置に対する認証処理を行う。そして、処理部２１は、車両状態判定部２２，３２が肯定的な判定を行い、かつ認証処理が成功した場合に取得処理を行う。

　また、本発明の実施の形態に係るゲートウェイ装置では、セキュア領域５２に車両状態判定部３２が含まれる。

　このように、容易にアクセスすることが困難なセキュア領域５２に車両状態判定部３２が含まれる構成により、車両状態判定部３２をハッキングから守ることができるので、たとえば、車両状態判定部３２を不正に操作することで車両状態判定部３２に肯定的な判定を行わせ、制御用情報を不正に取得することを防ぐことができる。

　また、本発明の実施の形態に係るゲートウェイ装置では、セキュア領域５２の内部に車両状態判定部３２が含まれ、かつセキュア領域５２の外部たとえば運用領域５１に車両状態判定部２２が含まれる。そして、処理部２１は、車両状態判定部３２および車両状態判定部２２の両方が肯定的な判定を行った場合、セキュア領域５２にアクセスし、取得処理を行う。

　このような構成により、たとえば、車両状態判定部３２および車両状態判定部２２のいずれか一方が不正に操作されて肯定的な判定を強制されても、不正な操作から逃れた判定部が正しい判定を行うことができるので、制御用情報を不正に取得することをより確実に防ぐことができる。

　また、本発明の実施の形態に係るゲートウェイ装置では、所定の停車状態は、駐車状態である。

　このように、所定の停車状態を駐車状態とする構成により、たとえば、制御用情報が悪用され、ゲートウェイ装置１０１が乗っ取られて遠隔操作されても、車両１が駐車状態であるので車両１の暴走を防ぐことができる。

　また、本発明の実施の形態に係るゲートウェイ装置では、所定の停車状態は、シフトレンジがパーキングの位置にある状態、シフトレンジがニュートラルの位置にあり、かつサイドブレーキもしくはフットブレーキが作動している状態、またはシフトレンジがニュートラルの位置にあり、かつ車速がゼロの状態である。

　このように、所定の停車状態を、たとえば、ＣＡＮ情報等の車両において伝送される情報を用いて定める構成により、制御用情報の使用を許可してもよい状態であるか否かを容易に判定することができる。

　また、本発明の実施の形態に係るゲートウェイ装置では、処理部２１は、車両１が動き出した場合、または制御用情報の使用を終了した場合に、制御用情報を破棄する。

　また、本発明の実施の形態に係るゲートウェイ装置では、処理部２１は、車両状態判定部２２，３２が否定的な判定を行った場合、制御用情報により実現される機能の、外部装置からの起動要請を拒否する旨の応答を行う。

　このような構成により、車両１において制御用情報の使用が制限されていることを、制御用情報の使用を要請した外部装置に通知することができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。

　［付記１］
　車両に搭載される車載装置であって、
　処理部と、
　前記車両が所定の停車状態であるか否かを判定する判定部と、
　前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、
　前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、
　前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行い、
　前記車載装置は、ゲートウェイ装置であり、
　前記車載装置は、さらに、
　ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）の通信規格に従うデータ、およびイーサネットの通信規格に従うデータを中継する中継部を備え、
　前記セキュア領域は、耐タンパー性を有し、
　前記制御用情報は、コマンド操作するためのコンソールを前記外部装置に提供するための管理機能、前記車載装置および前記外部装置間の通信を行うための管理機能、または前記中継部におけるフィルタ設定を行うための管理機能を前記処理部に実現させるための管理プログラムである、車載装置。

　１　車両
　１０　イーサネットケーブル
　１１　ＣＡＮバス
　２１　処理部
　２２　車両状態判定部
　２３　認証部
　３１　セキュア制御部
　３２　車両状態判定部
　３３　セキュア記憶部
　５１　運用領域
　５２　セキュア領域
　５３　中継部
　５４　外部装置用ポート
　１０１　ゲートウェイ装置（車載装置）
　１１１，１６１　機能部
　３０１　車載通信システム

Claims

　車両に搭載される車載装置であって、
　処理部と、
　前記車両が所定の停車状態であるか否かを判定する判定部と、
　前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、
　前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、
　前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う、車載装置。
　前記車載装置は、さらに、
　前記外部装置に対する認証処理を行う認証部を備え、
　前記処理部は、前記判定部が肯定的な判定を行い、かつ前記認証処理が成功した場合に前記取得処理を行う、請求項１に記載の車載装置。
　前記セキュア領域に前記判定部が含まれる、請求項１または請求項２に記載の車載装置。
　前記セキュア領域の内部に第１の前記判定部が含まれ、かつ前記セキュア領域の外部に第２の前記判定部が含まれ、
　前記処理部は、前記第１の判定部および前記第２の判定部の両方が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記取得処理を行う、請求項３に記載の車載装置。
　前記所定の停車状態は、駐車状態である、請求項１から請求項４のいずれか１項に記載の車載装置。
　前記処理部は、前記車両が動き出した場合、または前記制御用情報の使用を終了した場合に、前記制御用情報を破棄する、請求項１から請求項５のいずれか１項に記載の車載装置。
　前記処理部は、前記判定部が否定的な判定を行った場合、前記制御用情報により実現される機能の、前記外部装置からの起動要請を拒否する旨の応答を行う、請求項１から請求項６のいずれか１項に記載の車載装置。
　車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、
　前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、
　前記車両が所定の停車状態であるか否かを判定するステップと、
　判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む、管理方法。
　車両に搭載される車載装置において用いられる管理プログラムであって、
　コンピュータを、
　処理部と、
　前記車両が所定の停車状態であるか否かを判定する判定部、
として機能させるためのプログラムであり、
　前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、
　前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、
　前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う、管理プログラム。