WO2021181826A1 - 車載装置及びサーバ - Google Patents

車載装置及びサーバ Download PDF

Info

Publication number
WO2021181826A1
WO2021181826A1 PCT/JP2020/048698 JP2020048698W WO2021181826A1 WO 2021181826 A1 WO2021181826 A1 WO 2021181826A1 JP 2020048698 W JP2020048698 W JP 2020048698W WO 2021181826 A1 WO2021181826 A1 WO 2021181826A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
diagnosis
server
information
vehicle device
Prior art date
Application number
PCT/JP2020/048698
Other languages
English (en)
French (fr)
Inventor
尚幸 山本
川口 仁
Original Assignee
日立Astemo株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日立Astemo株式会社 filed Critical 日立Astemo株式会社
Priority to US17/909,652 priority Critical patent/US20230115760A1/en
Priority to JP2022505780A priority patent/JP7436629B2/ja
Priority to CN202080097378.1A priority patent/CN115135537A/zh
Priority to EP20924641.2A priority patent/EP4119398A4/en
Publication of WO2021181826A1 publication Critical patent/WO2021181826A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/20Monitoring the location of vehicles belonging to a group, e.g. fleet of vehicles, countable or determined number of vehicles
    • G08G1/205Indicating the location of the monitored vehicles as destination, e.g. accidents, stolen, rental
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/017Detecting movement of traffic to be counted or controlled identifying vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/0104Measuring and analyzing of parameters relative to traffic conditions
    • G08G1/0108Measuring and analyzing of parameters relative to traffic conditions based on the source of data
    • G08G1/0112Measuring and analyzing of parameters relative to traffic conditions based on the source of data from the vehicle, e.g. floating car data [FCD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Definitions

  • the present invention relates to an in-vehicle device and a server.
  • the other is that even after writing the VIN to the vehicle, if the power of the vehicle is turned on before the VIN is registered in the VIN information management on the OTA center side, the VIN is not registered in the same way. It is a misdiagnosis that detects and stores the DTC.
  • the vehicle assembly factory (100) is composed of a vehicle 11 and a diagnostic machine 14.
  • the diagnostic machine 14 is, for example, a notebook computer, and a tool (software) for displaying a diagnosis result or the like of the in-vehicle device 1 is installed.
  • the diagnostic machine 14 is also installed at the car dealer 420 in the market (400).
  • the in-vehicle device 1 in the market 400 receives the regular VIN (010) 204 from the VIN holding ECU 12, and the regular VIN (010) is added to the OTA synchronization information 200. ) 204 is put on and transmitted from the OTA center communication unit 2 to the OTA center 300.
  • the OTA center 300 includes a memory 300b (second memory) that stores diagnosis permission information 303 (second information) indicating disapproval of diagnosis as an initial value.
  • the CPU 300a (second processor) determines that the VIN (identification number) of the vehicle 11 has been registered in the OTA center 300 (server), and the diagnosis permission information 303 (second information) of the memory 300b (second memory). Indicates that the diagnosis is not permitted, the diagnosis permission information 303 of the memory 300b is rewritten so as to indicate the diagnosis permission, and the diagnosis permission information 303 indicating the diagnosis permission is transmitted to the in-vehicle device 1 with the communication circuit 300c (second communication circuit). Send via.
  • the diagnosis permission indicating the disapproval of the diagnosis is indicated via the diagnosis permission information 303 (second information) only when it is determined for the first time that the VIN (identification number) of the vehicle 11 is registered in the OTA center 300 (server).
  • the OTA center 300 (server) can set information 4 (initial value of the first information) to indicate permission for diagnosis.
  • the diagnosis permission information 4 (first information) of the memory 1b (first memory) can be synchronized with the diagnosis permission information 303 (second information) of the memory 300b (second memory).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Vehicle Cleaning, Maintenance, Repair, Refitting, And Outriggers (AREA)
  • Selective Calling Equipment (AREA)

Abstract

車両の識別番号がサーバに未登録の場合に診断を行うか否かを切り替えることができる車載装置を提供する。 車載装置(1)は、OTAセンタ(300)(サーバ)と無線通信を行うOTAセンタ通信部(2)(第1通信回路)と、診断の許可又は不許可を示す診断許可情報(4)(第1情報)を記憶するメモリ(1b)(第1メモリ)と、CPU(1a)(第1プロセッサ)と、を備える。CPU(1a)は、車載装置(1)を搭載する車両(11)のVIN(識別番号)がOTAセンタ(300)に未登録であり、かつ診断許可情報(4)が診断の許可を示す場合、車載装置(1)の診断を行い、その結果を保存し、車載装置(1)を搭載する車両11のVINがOTAセンタ(300)に未登録であり、かつ診断許可情報(4)が診断の不許可を示す場合、車載装置(1)の診断を行わない。

Description

車載装置及びサーバ
 本発明は、車載装置及びサーバに関する。
 最近の自動車では、セキュリティ攻撃による市場での事故が増加傾向にあり、車両内でのセキュリティの対策が求められている。セキュリティ対策としてデータ不正の検知などがあげられる。
 例えば、外界から車載ネットワークに不正にアクセスされた車が、車両のECU内に記憶する車両識別番号情報(VIN: Vehicle Identification Number)を書き換えられるケースが考えられる。車両識別番号情報を不正に書き換える攻撃である。このような場合、車両のセキュリティ対策として、車載装置がVINの不正な書き換えを検知し、異常情報(以降、DTC: Diagnostic Trouble Code)を車載装置内に格納し、警告を出力することが考えられる。
 これは、ユーザーに警告を通知することで、ディーラーへの来店を促す事が目的である。なお、異常情報を車載装置内に格納する技術として種々の方法が提案されている(例えば、特許文献1参照)。
特開2010-139514号公報
 近年、無線での遠隔ソフト更新技術を自動車に適用し、車のECUソフトウェアを遠隔で更新する自動車向け遠隔ソフト更新技術(以降、OTA:Over the Air)へのニーズが高まっている。OTAのシステムでは、車両に搭載されるECUの部品番号やソフトウェアのバージョン、VINなどの最新の情報をOTAセンタに通知することで、センタが持つ情報を定期的に更新する手段がとられる。これは、OTAセンタが持つ情報と車両の情報とを同期することで、誤ったソフト更新の防止を目的としている。
 また、双方の情報の同期を行うことで、万一、データに違いが発生した場合に、それを検出することが可能となる。つまり、このような情報の同期は、データが正しいかどうかの診断機能としても使うことができる。
 ここで、上述のようなVINの不正な書き換え有無の検出に、この診断機能を適用したケースでは、OTAセンタが持つ正しいVINと車載装置に格納されるVINの同期を行い、万一、データ不一致となった場合は、車載装置側のVINの不正な書き換えがあったとみなし、DTCを車載装置内に格納し、警告を出力するといったことが可能となる。
 しかしながら、実用を想定した場合、以下のような誤診断のケースが考えられる。
ひとつは、車組立ての工場において、車両にVINを書込む前に車両の電源をONした場合、OTAセンタとの通信が確立するとVIN不一致を検出しDTCストアしてしまう誤診断である。
 もうひとつは、車両にVINを書込んだ後であっても、万一OTAセンタ側でVIN情報管理にVINの登録をする前の段階で車両の電源をONした場合、同様にVIN未登録を検出し、DTCストアしてしまう誤診断である。
 本発明の目的は、上述のような車両にVINが書き込まれる前や、車両のVINがサーバに未登録の場合であっても、誤診断することなく、VINの不正な書き換えを検知可能な車載装置を提供することにある。
 上記目的を達成するために、本発明の一例は、サーバと無線通信を行う第1通信回路と、診断の許可又は不許可を示す第1情報を記憶する第1メモリと、第1プロセッサと、を備える車載装置であって、前記第1プロセッサは、前記車載装置を搭載する車両の識別番号が前記サーバに未登録であり、かつ前記第1情報が診断の許可を示す場合、前記車載装置の診断を行い、その結果を保存し、前記車載装置を搭載する車両の識別番号が前記サーバに未登録であり、かつ前記第1情報が診断の不許可を示す場合、前記車載装置の診断を行わない。
 本発明によれば、車両の識別番号がサーバに未登録の場合に診断を行うか否かを切り替えることができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明の一実施形態による車載装置及び車載システムの概略構成図である。 本発明の一実施形態による車載装置のOTA同期情報から診断許可判定までのフローチャートである。 OTAセンタのOTA同期情報から診断許可応答までのフローチャートである。 本発明の一実施形態による車載装置の診断開始から診断終了までのフローチャートである。 車載装置のハードウェア構成図である。 OTAセンタ(サーバ)のハードウェア構成図である。
 添付図面の図1~図4を用いて本発明の一実施形態による車載装置及びOTAシステムを説明する。
 図1を用いて本発明の一実施形態による車載装置及び車載システムの概略構成を説明する。
 (概略構成)
 車載装置1は、VIN保持ECU12、ナビVIN画面表示13、診断機14及びOTAセンタ300と通信可能な装置であり、例えば、OTAセンタ通信部2、診断処理部3、診断許可情報4、DTCエリア5から構成される。車載装置1は、OTA同期情報200をOTAセンタ300へ送信し、OTA同期応答201をOTAセンタ300から受信する。なお、車載装置1は、車組工場(100)及び市場(400)における車両11に搭載される。
 車組工場(100)は、車両11及び診断機14から構成される。なお、診断機14は、例えば、ノートパソコンであり、車載装置1の診断結果等を表示するツール(ソフトウェア)がインストールされている。診断機14は、市場(400)のカーディーラー420にも設置される。
 OTAセンタ(300)は、車載装置1と通信可能であり、例えば、OTA情報301、正規VIN登録情報302、診断許可情報303、外部不正監視304から構成される。OTAセンタ(300)は、OTA同期情報200を車載装置1から受信し、OTA同期応答201を車載装置1へ送信する。
 市場(400)は、例えば、車両11、カーディーラー420及び外界からの不正な入力410から構成される。
 (ハードウェア構成)
 車載装置1は、例えば、ECU(Electronic Control Unit)である。図5に示すように、車載装置1は、CPU1a(第1プロセッサ)、メモリ1b(第1メモリ)、通信回路1c(第1通信回路)、I/F 1d(入出力回路)等から構成される。なお、図5に示すCPU1aは図1に示す診断処理部3として機能し、図5に示す通信回路1cは、図1に示すOTAセンタ通信部2として機能する。
 OTAセンタ300は、例えば、サーバである。図6に示すように、OTAセンタ300は、CPU300a(第2プロセッサ)、メモリ300b(第2メモリ)、通信回路300c(第2通信回路)、I/F 300d(第2入出力回路)、HDD(Hard Disk Drive)等から構成される。なお、図5に示すCPU1aは図1に示す診断処理部3として機能し、図5に示す通信回路1cは、図1に示す外部不正監視304として機能する。
 (車組工場とOTAセンタとの間の同期)
 車組工場(100)内においては、車両11を組み立てる工程として、車載装置1とVIN保持ECU12とナビVIN画面表示13を接続する。組み立て後に車両11に電源をいれると車載装置1は、VIN保持ECU12からVIN無し202を受信し、OTA同期情報200にVIN無し202を乗せてOTAセンタ通信部2からOTAセンタ300へ送信する。ここで、VIN無し202は、例えば、VINが空もしくはヌルであることを示すデータである。
 図3に示すように、OTAセンタ300は、OTA同期情報200のVIN無し202を受信し(S210)、正規VIN登録情報302に該当するか判定し(S220)、正規VIN情報ではなく(S220:NO)、診断許可情報303は診断不許可(初期値)である為(S250:NO)、OTA同期応答に異常を示すVIN未登録203を乗せて応答する(S270)。
 図2に示すように、車組工場(100)の車載装置1は、VIN未登録203応答を受信し(S110)、OTA同期応答は異常応答(VIN未登録)であり(S120)、診断許可情報4は診断不許可(初期値)である為(S130:NO)、VINの診断を実施しない(S130:NO)。
 図4に示すように、診断許可情報4が診断不許可の時は(S310:NO)、車組工場(100)の車載装置1は、VINの診断を実施せずにナビVIN画面表示13及び診断機14に対して、診断結果は正常で応答を行う(S320)。
 換言すれば、車載装置1は、OTAセンタ300(サーバ)と無線通信を行うOTAセンタ通信部2(第1通信回路)と、診断の許可又は不許可を示す診断許可情報4(第1情報)を記憶するメモリ1b(第1メモリ)と、CPU1a(第1プロセッサ)と、を備える。車載装置1を搭載する車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録であり、かつ診断許可情報4が診断の不許可を示す場合、車載装置1の診断を行わない。
 本実施形態では、メモリ1b(第1メモリ)は、初期値として診断の不許可を示す診断許可情報4(第1情報)を記憶する。これにより、例えば、工場等で車載装置1の電源がオンとなった場合に車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録であっても診断は行われない。
 (市場とOTAセンタとの間の同期) 図1に示すように、市場400においての車載装置1は、VIN保持ECU12から正規VIN(010)204を受信し、OTA同期情報200に正規VIN(010)204を乗せてOTAセンタ通信部2からOTAセンタ300へ送信する。
 図3に示すように、OTAセンタ300は、OTA同期情報200の正規VIN(010)204を受信し(S210)、正規VIN登録情報302に該当するか判定し(S220)、正規VIN情報である為(S220:YES)、診断許可情報303を診断許可に書き換え(S230)、OTA同期応答201を正常とし、診断許可情報303の診断許可205を乗せて応答する(S240)。
 換言すれば、OTAセンタ300(サーバ)は、車載装置1と無線通信を行う通信回路300c(第2通信回路)と、CPU300a(第2プロセッサ)と、を備える。CPU300a(第2プロセッサ)は、車両11のVIN(識別番号)を車載装置1から通信回路300c(第2通信回路)を介して受信し、車両11のVINがOTAセンタ300(サーバ)のHDD300等に登録済であるか判定し、車両11のVINがOTAセンタ300に登録済であると判定された場合、診断の許可を示す診断許可情報303(第2情報)を車載装置1へ通信回路300c(第2通信回路)を介して送信する。
 これにより、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると判定された場合、診断許可情報303(第2情報)を介して診断の不許可を示す診断許可情報4(第1情報の初期値)を診断の許可を示すようにOTAセンタ300は設定することができる。
 本実施形態では、CPU300a(第2プロセッサ)は、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると初めて判定された場合のみ、診断の許可を示す診断許可情報303(第2情報)を車載装置1へ通信回路300c(第2通信回路)を介して送信する。
 これにより、車両のVINがOTAセンタ300に登録済であると初めて判定された場合のみ診断許可情報303(第2情報)を介して診断の不許可を示す診断許可情報4(第1情報の初期値)を診断の許可を示すようにOTAセンタ300は設定することができる。
 詳細には、OTAセンタ300(サーバ)は、初期値として診断の不許可を示す診断許可情報303(第2情報)を記憶するメモリ300b(第2メモリ)を備える。CPU300a(第2プロセッサ)は、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると判定され、かつメモリ300b(第2メモリ)の診断許可情報303(第2情報)が診断の不許可を示す場合、診断の許可を示すようにメモリ300bの診断許可情報303を書き換え、診断の許可を示す診断許可情報303を車載装置1へ通信回路300c(第2通信回路)を介して送信する。
 これにより、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると初めて判定された場合のみ診断許可情報303(第2情報)を介して診断の不許可を示す診断許可情報4(第1情報の初期値)を診断の許可を示すようにOTAセンタ300(サーバ)は設定することができる。また、メモリ1b(第1メモリ)の診断許可情報4(第1情報)をメモリ300b(第2メモリ)の診断許可情報303(第2情報)に同期させることができる。
 なお、CPU300a(第2プロセッサ)は、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると判定された回数をカウントし、カウントされた回数が0から1になった場合、診断の許可を示す診断許可情報303(第2情報)を車載装置1へ通信回路300c(第2通信回路)を介して送信してもよい。
 これにより、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると初めて判定された場合のみ診断許可情報303(第2情報)を介して診断の不許可を示す診断許可情報4(第1情報の初期値)を診断の許可を示すようにOTAセンタ300(サーバ)は設定することができる。
 図2に示すように、市場400の車載装置1は、OTA同期応答201の診断許可205を受信し(S110)、OTA同期応答201は正常応答(センタはVIN登録)である為(S120)、診断処理部3にて診断許可情報4を診断許可にし(S140)、VINの診断を許可状態にする。
 本実施形態では、車載装置1のCPU1a(第1プロセッサ)は、車両11のVIN(識別番号)をOTAセンタ300(サーバ)へOTAセンタ通信部2(第1通信回路)を介して送信し、車両11のVINがOTAセンタ300に登録済であると判定された場合、診断の許可を示す診断許可情報303(第2情報)をOTAセンタ300からOTAセンタ通信部2を介して受信し、メモリ1b(第1メモリ)の診断許可情報4(第1情報)を診断許可情報303(第2情報)に一致させるように書き換える。
 これにより、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に登録済であると判定された場合、診断許可情報303(第2情報)を介して診断の許可を示すように診断許可情報4(第1情報)を設定することができる。その結果、例えば、車両11にVINが付与され、車両11のVINがOTAセンタ300に登録済の場合に診断が行われ得る。
 図1に示すように、診断許可後に市場400のVIN保持ECU12が外部から不正な入力410でVINが書き換えられた場合、車載装置1は車両電源投入後、VIN保持ECU12から不正VIN(444)411を受信し、OTA同期情報200に不正VIN(444)411を乗せてOTAセンタ通信部2からOTAセンタ300へ送信する。
 図3に示すように、OTAセンタ300は、OTA同期情報200の不正VIN(444)411を受信し(S210)、正規VIN登録情報302に該当するか判定し(S220)、診断許可情報303は診断許可である為(S250:YES)、不正VIN情報であると検知し(S260)、OTA同期応答201に異常を示すVIN未登録203を乗せて応答する(S270)。
 換言すれば、CPU300a(第2プロセッサ)は、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録であると判定され、かつメモリ300b(第2メモリ)の診断許可情報303(第2情報)が診断の許可を示す場合、車両11のVINが不正に書き換えられたと判定する。これにより、車両11のVIN(識別番号)が不正に書き換えられたことをOTAセンタ300(サーバ)は検知することができる。
 図2に示すように、市場400の車載装置1は、OTA同期応答201のVIN未登録203を受信し(S110)、OTA同期応答201は異常応答(VIN未登録)であり(S120)、診断処理部3にて診断許可情報4は診断許可状態なので(S130:YES)、不正VIN検知としてDTCをストアする(S150)。図4に示すように、診断許可情報4が診断許可状態なので(S310:YES)、VINの診断を実施し(S330)、市場400の車載装置1は、ナビVIN画面表示13及び診断機14に対して、異常診断結果を出力する。
 換言すれば、CPU1a(第1プロセッサ)は、車載装置1を搭載する車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録であり、かつ診断許可情報4(第1情報)が診断の許可を示す場合、車載装置1の診断を行い、その結果をメモリ等に保存する。
 これにより、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録の場合に診断許可情報4(第1情報)に応じて診断を行うか否かを切り替えることができる。例えば、診断の不許可を示すように診断許可情報4を設定しておけば、車両11にVINが付与されていないことにより車両11のVINがOTAセンタ300に未登録の場合に診断は行われない。一方、診断の許可を示すように診断許可情報4を設定しておけば、車両11のVINが書き換えられたことにより車両11のVINがOTAセンタ300に未登録の場合に診断が行われる。
 本実施形態では、CPU1a(第1プロセッサ)は、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録であり、かつ診断許可情報4(第1情報)が診断の許可を示す場合、車載装置1の規格(例えば、OBD2: On Board Diagnosis second generation)に準拠した診断を行い、その結果に対応する故障コード(例えば、DTC: Diagnostic Trouble Code)をメモリ等に保存する。
 これにより、診断の許可を示すように診断許可情報4(第1情報)を設定しておけば、車両11のVIN(識別番号)が書き換えられたことにより車両11のVINがOTAセンタ300(サーバ)に未登録の場合に車載装置1の規格に準拠した診断が行われ、その結果に対応する故障コードが保存される。
 また、CPU1a(第1プロセッサ)は、車両11のVIN(識別番号)がOTAセンタ300(サーバ)に未登録であり、かつ診断許可情報4(第1情報)が診断の許可を示す場合、車両11のVINが不正に書き換えられたと判定する。これにより、車両のVINが不正に書き換えられたことを車載装置1は検知することができる。
 以上説明したように、本実施形態によれば、車両のVIN(識別番号)がOTAセンタ300(サーバ)に未登録の場合に診断を行うか否かを切り替えることができる。
 なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
 上記実施形態では、VIN保持ECU12と車載装置1は別体であるが一体であってもよい。
 また、上記の各構成、機能等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
 なお、本発明の実施形態は、以下の態様であってもよい。
 (1).車両識別番号情報(VIN) を操作するOTA(Over the Air)センタとOTAセンタと同期情報を備えた車載装置において、前記同期情報から、前記VINの診断の適宜を診断許可情報から判断する車載装置。
 (2).(1)において、前記OTAセンタとの同期が成功しない場合、前記OTAセンタの判断で前記診断許可情報を不許可にし、診断は実施しない。診断機で診断許可情報を読み出し、前記OTAセンタの前記VIN操作を確認する車載装置。
 (3).(1)において、前記OTAセンタとの同期が成功した場合、前記OTAセンタの判断で前記診断許可情報を許可にし、前記OTAセンタとの同期後、前記診断許可情報と前記OTAセンタの判断から前記VINの診断を実施する車載装置。
 (4).(1)において、前記OTAセンタと同時期に前記診断許可情報に基づいて外部からの攻撃を検知できる。
 (5).(1)において、前記診断許可情報は、より精度を上げるため同期カウンタを用いる事もできる。
 (6).(1)において、前記診断機は外部からの攻撃検知の確認及び前記診断許可情報の確認及び書換えできる。
 (7).前記OTAセンタは、前記同期情報により、前記車載装置の前記診断情報許可を操作できる。
 (8).前記OTAセンタは、前記同期情報に基づいて、前記車載装置の外部からの攻撃を検知できる。
 (1)-(8)のいずれかの車載装置によれば、車組工場内では、OTAセンタに正規VINが登録されるまで車載装置は診断を実施しない。車載装置が診断を実施しない為、不正VINのDTCがストアされる事は無い。
 一方の市場では、OTAセンタに正規VIN情報が登録されている内容で車載装置は不正VINか正規VINかの診断を行う事ができる。また定期的にOTAセンタと同期通信を行っている為、外界からサイバー攻撃を受けた段階で、不正VIN検出の為の故障診断する事ができる。
 OTAセンタは管理している車両分の、車載と同じタイミングで外界からの攻撃が検知でき、リモートで車載の診断許可情報を操作する事ができる。
1…車載装置、2…OTAセンタ通信部、3…診断処理部、4…診断許可情報、5…DTCエリア、11…車両、12…VIN保持ECU、13…ナビVIN画面表示、14…診断機、100…車組工場、200…OTA同期情報、201…OTA同期応答、202…VIN無し、203…VIN未登録、204…正規VIN(010)、205…診断許可、300…OTAセンタ、301…OTA情報、302…正規VIN登録情報、303…診断許可情報、304…外部不正監視、400…市場、410…外界からの不正な入力、411…不正VIN(444)、420…カーディーラー

Claims (10)

  1.  サーバと無線通信を行う第1通信回路と、
     診断の許可又は不許可を示す第1情報を記憶する第1メモリと、
     第1プロセッサと、を備える車載装置であって、
     前記第1プロセッサは、
     前記車載装置を搭載する車両の識別番号が前記サーバに未登録であり、かつ前記第1情報が診断の許可を示す場合、前記車載装置の診断を行い、その結果を保存し、
     前記車載装置を搭載する車両の識別番号が前記サーバに未登録であり、かつ前記第1情報が診断の不許可を示す場合、前記車載装置の診断を行わない
     ことを特徴とする車載装置。
  2.  請求項1に記載の車載装置であって、
     前記第1プロセッサは、
     前記車両の識別番号を前記サーバへ前記第1通信回路を介して送信し、
     前記車両の識別番号が前記サーバに登録済であると判定された場合、診断の許可を示す第2情報を前記サーバから前記第1通信回路を介して受信し、前記第1メモリの前記第1情報を前記第2情報に一致させるように書き換える
     ことを特徴とする車載装置。
  3.  請求項2に記載の車載装置であって、
     前記第1メモリは、
     初期値として診断の不許可を示す第1情報を記憶する
     ことを特徴とする車載装置。
  4.  請求項3に記載の車載装置であって、
     前記第1プロセッサは、
     前記車両の識別番号が前記サーバに未登録であり、かつ前記第1情報が診断の許可を示す場合、前記車載装置の規格に準拠した診断を行い、その結果に対応する故障コードを保存する
     ことを特徴とする車載装置。
  5.  請求項3に記載の車載装置であって、
     前記第1プロセッサは、
     前記車両の識別番号が前記サーバに未登録であり、かつ前記第1情報が診断の許可を示す場合、前記車両の識別番号が不正に書き換えられたと判定する
     ことを特徴とする車載装置。
  6.  請求項3に記載の車載装置と通信を行うサーバであって、
     前記車載装置と無線通信を行う第2通信回路と、
     第2プロセッサと、を備え、
     前記第2プロセッサは、
     前記車両の識別番号を前記車載装置から前記第2通信回路を介して受信し、
     前記車両の識別番号が前記サーバに登録済であるか判定し、
     前記車両の識別番号が前記サーバに登録済であると判定された場合、診断の許可を示す前記第2情報を前記車載装置へ前記第2通信回路を介して送信する
     ことを特徴とするサーバ。
  7.  請求項6に記載のサーバであって、
     前記第2プロセッサは、
     前記車両の識別番号が前記サーバに登録済であると初めて判定された場合のみ、診断の許可を示す前記第2情報を前記車載装置へ前記第2通信回路を介して送信する
     ことを特徴とするサーバ。
  8.  請求項6に記載のサーバであって、
     初期値として診断の不許可を示す第2情報を記憶する第2メモリを備え、
     前記第2プロセッサは、
     前記車両の識別番号が前記サーバに登録済であると判定され、かつ前記第2メモリの前記第2情報が診断の不許可を示す場合、診断の許可を示すように前記第2メモリの前記第2情報を書き換え、診断の許可を示す前記第2情報を前記車載装置へ前記第2通信回路を介して送信する
     ことを特徴とするサーバ。
  9.  請求項6に記載のサーバであって、
     前記第2プロセッサは、
     前記車両の識別番号が前記サーバに登録済であると判定された回数をカウントし、カウントされた回数が0から1になった場合、診断の許可を示す前記第2情報を前記車載装置へ前記第2通信回路を介して送信する
     ことを特徴とするサーバ。
  10.  請求項8に記載のサーバであって、
     前記第2プロセッサは、
     前記車両の識別番号が前記サーバに未登録であると判定され、かつ前記第2メモリの前記第2情報が診断の許可を示す場合、前記車両の識別番号が不正に書き換えられたと判定する
     ことを特徴とするサーバ。
PCT/JP2020/048698 2020-03-11 2020-12-25 車載装置及びサーバ WO2021181826A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US17/909,652 US20230115760A1 (en) 2020-03-11 2020-12-25 In-vehicle device and server
JP2022505780A JP7436629B2 (ja) 2020-03-11 2020-12-25 車載装置及びサーバ
CN202080097378.1A CN115135537A (zh) 2020-03-11 2020-12-25 车载装置及服务器
EP20924641.2A EP4119398A4 (en) 2020-03-11 2020-12-25 IN-VEHICLE DEVICE AND SERVER

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020-042034 2020-03-11
JP2020042034 2020-03-11

Publications (1)

Publication Number Publication Date
WO2021181826A1 true WO2021181826A1 (ja) 2021-09-16

Family

ID=77671522

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/048698 WO2021181826A1 (ja) 2020-03-11 2020-12-25 車載装置及びサーバ

Country Status (5)

Country Link
US (1) US20230115760A1 (ja)
EP (1) EP4119398A4 (ja)
JP (1) JP7436629B2 (ja)
CN (1) CN115135537A (ja)
WO (1) WO2021181826A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002202001A (ja) * 2000-12-28 2002-07-19 Denso Corp 自己診断機能を備えた車両用制御装置及び記録媒体
JP2009274472A (ja) * 2008-05-12 2009-11-26 Denso Corp 電子制御装置
JP2017007379A (ja) * 2015-06-17 2017-01-12 三菱電機株式会社 車両制御システム、受信制御装置および車両制御装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002202001A (ja) * 2000-12-28 2002-07-19 Denso Corp 自己診断機能を備えた車両用制御装置及び記録媒体
JP2009274472A (ja) * 2008-05-12 2009-11-26 Denso Corp 電子制御装置
JP2017007379A (ja) * 2015-06-17 2017-01-12 三菱電機株式会社 車両制御システム、受信制御装置および車両制御装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP4119398A4 *

Also Published As

Publication number Publication date
EP4119398A4 (en) 2024-03-27
CN115135537A (zh) 2022-09-30
JP7436629B2 (ja) 2024-02-21
JPWO2021181826A1 (ja) 2021-09-16
EP4119398A1 (en) 2023-01-18
US20230115760A1 (en) 2023-04-13

Similar Documents

Publication Publication Date Title
JP6203365B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
CN110582430B (zh) 车载认证系统、车辆通信装置、认证管理装置、车载认证方法以及计算机能读取的存储介质
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
JP5423754B2 (ja) バス監視セキュリティ装置及びバス監視セキュリティシステム
JP6585113B2 (ja) データ格納装置
WO2015129352A1 (ja) 認証システム、車載制御装置
KR100494733B1 (ko) 차량의 적산거리조작방지 시스템 및 방법
JP2018133743A (ja) 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム
JP2018045392A (ja) ネットワーク監視装置、ネットワークシステムおよびプログラム
US20180310173A1 (en) Information processing apparatus, information processing system, and information processing method
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
WO2021111681A1 (ja) 情報処理装置、制御方法及びプログラム
JP7485106B2 (ja) 車両、車載制御装置、情報処理装置、車両用ネットワークシステム、アプリケーションプログラムの提供方法、及びプログラム
JP2019071572A (ja) 制御装置及び制御方法
JP2016127299A (ja) 中継装置及びネットワーク構築方法
WO2021181826A1 (ja) 車載装置及びサーバ
WO2021260984A1 (ja) 情報処理装置、情報処理方法及びプログラム
EP2709073B1 (en) Electronic control unit of vehicle
EP3904161A1 (en) Information processing device
CN112585038B (zh) 用于激活功能的控制装置、具有控制装置的机动车和用于运行控制装置的方法
JP6874102B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
WO2022176131A1 (ja) 通信監視装置、通信監視方法およびプログラム
JP2004276828A (ja) 車両特定システム及び車両特定方法
CN108694145B (zh) Pci-e接口控制系统

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20924641

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022505780

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020924641

Country of ref document: EP

Effective date: 20221011