特開 2016-163348 単方向ゲートウェイ、これを用いた自動車ネットワークシステムおよび自動車内部ネットワーク保護方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】特開2016-163348(P2016-163348A)

(43)【公開日】2016年9月5日

(54)【発明の名称】単方向ゲートウェイ、これを用いた自動車ネットワークシステムおよび自動車内部ネットワーク保護方法

(51)【国際特許分類】

   H04L 12/46 20060101AFI20160808BHJP

   H04M 11/00 20060101ALI20160808BHJP

   B60R 16/023 20060101ALI20160808BHJP

【ＦＩ】

   H04L12/46 E

   H04M11/00 302

   B60R16/023 P

【審査請求】有

【請求項の数】10

【出願形態】ＯＬ

【全頁数】14

(21)【出願番号】特願2015-221828(P2015-221828)

(22)【出願日】2015年11月12日

(31)【優先権主張番号】10-2015-0030167

(32)【優先日】2015年3月4日

(33)【優先権主張国】KR

【公序良俗違反の表示】

（特許庁注：以下のものは登録商標）

１．ブルートゥース

(71)【出願人】

【識別番号】596180076

【氏名又は名称】韓國電子通信研究院

【氏名又は名称原語表記】Ｅｌｅｃｔｒｏｎｉｃｓ ａｎｄ Ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ｒｅｓｅａｒｃｈ Ｉｎｓｔｉｔｕｔｅ

(74)【代理人】

【識別番号】100083806

【弁理士】

【氏名又は名称】三好 秀和

(74)【代理人】

【識別番号】100095500

【弁理士】

【氏名又は名称】伊藤 正和

(72)【発明者】

【氏名】金 京 鎬

(72)【発明者】

【氏名】尹 正 ▲漢▼

(72)【発明者】

【氏名】金 熙 ▲眠▼

(72)【発明者】

【氏名】鄭 晩 鉉

(72)【発明者】

【氏名】金 禹 年

(72)【発明者】

【氏名】朴 商 雨

【テーマコード（参考）】

5K033

5K201

【Ｆターム（参考）】

5K033AA08

5K033BA06

5K033CB06

5K033DA06

5K033DB19

5K201AA07

5K201BB04

5K201BC23

5K201BD01

5K201BD04

5K201CB17

5K201DC02

5K201EA08

5K201EC01

5K201FA10

(57)【要約】

【課題】自動車の内部ネットワークとインフォテインメントネットワークを制限的な物理的単方向通信技術を適用して、外部の悪意的な行為によって自動車が不法制御される脅威を根本的に遮断し、既存の連携されていた情報の円滑な提供を解決することのできる、単方向ゲートウェイ、これを用いた自動車ネットワークシステムおよび自動車内部ネットワーク保護方法を提示する。
【解決手段】前記自動車ネットワークシステムは、自動車の内部ネットワークと、自動車のインフォテインメントネットワークと、単方向通信により内部ネットワークからインフォテインメントネットワークへのデータ伝送のみを行い、インフォテインメントネットワークから内部ネットワークに送る要請を受信して、正常要請に対してのみ内部ネットワークに伝送させる単方向ゲートウェイとを備える。
【選択図】図２

【特許請求の範囲】

【請求項1】

車両の内部ネットワークまたはインフォテインメントネットワークの機器と通信を主管する通信制御部と、
前記内部ネットワークおよび前記インフォテインメントネットワークの間の通信区間を物理的に単方向に構成した物理的単方向通信部と、
前記通信制御部を介して前記内部ネットワークまたはインフォテインメントネットワークの機器から伝送されたデータを前記物理的単方向通信部に伝達し、前記物理的単方向通信部を介して伝送されたデータを前記内部ネットワークまたは前記インフォテインメントネットワークの機器に伝達するデータ送受信部とを備えることを特徴とする、単方向ゲートウェイ。

【請求項2】

前記物理的単方向通信部は、
前記内部ネットワークの機器からのデータを受信して出力する単方向送信制御部と、
前記単方向送信制御部からのデータを単方向通信により受信して出力する物理的単方向データ送信部と、
前記単方向通信により前記物理的単方向データ送信部からのデータを受信して出力する物理的単方向データ受信部と、
前記物理的単方向データ受信部からのデータを前記インフォテインメントネットワークの機器に伝達する単方向受信制御部とを備えることを特徴とする、請求項１に記載の単方向ゲートウェイ。

【請求項3】

前記物理的単方向データ送信部と前記物理的単方向データ受信部との間の単方向データ通信の際、
前記物理的単方向データ送信部と前記物理的単方向データ受信部との間の物理的な回線が除去されることを特徴とする、請求項２に記載の単方向ゲートウェイ。

【請求項4】

前記物理的単方向データ受信部は、前記物理的単方向データ送信部からのデータを受信することにより、受信状態チェック用信号を前記物理的単方向データ送信部に送ることを特徴とする、請求項２に記載の単方向ゲートウェイ。

【請求項5】

前記物理的単方向データ送信部は、前記受信状態チェック用信号に基づいて、前記物理的単方向データ受信部のデータの正常受信の有無を確認することを特徴とする、請求項４に記載の単方向ゲートウェイ。

【請求項6】

単方向ゲートウェイの単方向送信制御部が、内部ネットワークの機器からのデータを前記単方向ゲートウェイの物理的単方向データ送信部に伝達するステップと、
前記物理的単方向データ送信部が、受信したデータを単方向通信により前記単方向ゲートウェイの物理的単方向データ受信部に伝送するステップと、
前記物理的単方向データ受信部が、前記物理的単方向データ送信部からのデータを前記単方向ゲートウェイの単方向受信制御部に伝送するステップと、
前記単方向受信制御部が、前記単方向受信制御部からのデータをインフォテインメントネットワークの機器に伝達するステップとを含むことを特徴とする、自動車内部ネットワーク保護方法。

【請求項7】

前記物理的単方向データ受信部に伝送するステップは、前記物理的単方向データ送信部と前記物理的単方向データ受信部との間の物理的な回線を除去することを特徴とする、請求項６に記載の自動車内部ネットワーク保護方法。

【請求項8】

前記物理的単方向データ受信部に伝送するステップと、前記単方向受信制御部に伝送するステップとの間に、
前記物理的単方向データ受信部が、前記物理的単方向データ送信部からのデータを受信することにより、受信状態チェック用信号を前記物理的単方向データ送信部に送るステップを追加的に含むことを特徴とする、請求項６に記載の自動車内部ネットワーク保護方法。

【請求項9】

前記物理的単方向データ送信部が、前記受信状態チェック用信号に基づいて、前記物理的単方向データ受信部のデータの正常受信の有無を確認するステップを追加的に含むことを特徴とする、請求項８に記載の自動車内部ネットワーク保護方法。

【請求項10】

前記単方向ゲートウェイの信号送信部が、前記単方向受信制御部を介して前記インフォテインメントネットワークの機器からの要請を受信することにより、当該要請の正常の有無を判断するステップと、
前記信号送信部が、前記判断するステップの結果に基づいて、受信状態チェック用信号を出力するステップと、
前記単方向ゲートウェイの信号受信部が、前記信号送信部からの受信状態チェック用信号に基づいて、当該要請の正常の有無を判断するステップと、
前記信号受信部が、当該要請が正常であれば、前記単方向送信制御部に当該要請を送信するステップとを追加的に含むことを特徴とする、請求項６に記載の自動車内部ネットワーク保護方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、単方向ゲートウェイ、これを用いた自動車ネットワークシステムおよび自動車内部ネットワーク保護方法に関するものであって、より詳細には、自動車における各種便宜機能の提供およびデータ収集のための外部ネットワークの連携において、いかなる場合にも車両の安全を維持可能にする、単方向ゲートウェイ、これを用いた自動車ネットワークシステムおよび自動車内部ネットワーク保護方法に関するものである。

【背景技術】

【0002】

自動車は、数多くの機械／電子装置などの先端機器が集約されている。これには、車両の基本的な機能である加速、操舵、制動から各種便宜機能に対する機器が含まれる。

【0003】

最近、自動車の多くの部分がデジタル化されるに伴い、多くの機能を行える環境が作られ、使用者のニーズもますます多様化する傾向にある。

【0004】

代表的には、ナビゲーション、ＤＭＢ視聴、ラジオ視聴、音楽再生などが挙げられる。また、最近は、Ｂｌｕｅｔｏｏｔｈ（登録商標）、Ｗｉｆｉ、ＬＴＥなどを用いて車両外部または車両内部における外部機器を介した車両制御関連技術が続々と登場している。しかし、これらの技術に対する脅威の認識が弱い。これによって、セキュリティ性の確保が非常に弱い状態であり、セキュリティの脅威が増大している。すでにＯＤＢ端子を介した攻撃で自動車の不法な制御が可能であることが裏付けられている。

【0005】

従来の自動車ネットワークは、機能によって、図１のように概略的に表現することができる。

【0006】

従来の自動車ネットワークは、大きく、内部ネットワーク（Ｉｎｔｅｒｎａｌ Ｎｅｔｗｏｒｋ）１と、インフォテインメントネットワーク（Ｉｎｆｏｔａｉｎｍｅｎｔ Ｎｅｔｗｏｒｋ）２とに分類することができる。内部ネットワーク１は、ＥＣＭ（Ｅｎｇｉｎｅ Ｃｏｎｔｒｏｌ Ｍｏｄｕｌｅ, エンジン制御モジュール）１ａ、ＢＣＭ（Ｂｏｄｙ Ｃｏｎｔｒｏｌ Ｍｏｄｕｌｅ, ボディ制御モジュール）１ｂ、ＴＣＭ（Ｔｒａｎｓｍｉｓｓｉｏｎ Ｃｏｎｔｒｏｌ Ｍｏｄｕｌｅ, トランスミッション 制御モジュール）１ｃ、ＡＢＣＭ（Ａｎｔｉ−ｌｏｃｋ Ｂｒａｋｅ Ｃｏｎｔｒｏｌ Ｍｏｄｕｌｅ, アンチロック ブレーキ 制御モジュール）１ｄなどのように、主に自動車の運行に関連する機器から構成される。インフォテインメントネットワーク２は、オーディオ（Ａｕｄｉｏ Ｒａｄｉｏ）２ａ、ナビゲーション（Ｎａｖｉｇａｔｉｏｎ）２ｂ、車両用コンピュータ（Ｖｅｈｉｃｌｅ Ｃｏｍｐｕｔｅｒ）２ｃなど、情報提供や使用者便宜提供関連機器から構成される。そして、互いに異なる通信方法を使用する機器間通信のために、ゲートウェイ（Ｇａｔｅｗａｙ）３を用いる。

【0007】

従来の車両の場合、外部と接続されず、独立したネットワークという前提の下、別途の脅威に対する対策が弱かった。

【0008】

しかし、最近は、図１の外部通信（Ｅｘｔｅｒｎａｌ Ｃｏｍｍｕｎｉｃａｔｉｏｎ）２ｄに含まれるブルートゥース（Ｂｌｕｅｔｏｏｔｈ）などのインタフェースを介して外部機器の接続が行われている。これによって、自動車ネットワークへの侵入経路が生成される。そして、この経路を介して自動車の内部ネットワーク１に影響を及ぼして攻撃者の悪意的な行為に無防備で露出する可能性がある。

【0009】

本発明に関連する先行技術としては、大韓民国公開特許第２０１３−０１３６８５２号（電気自動車のＣＡＮバス分離装置およびこれを用いた電気自動車のＣＡＮ通信セキュリティ方法）がある。

【発明の概要】

【発明が解決しようとする課題】

【0010】

本発明は、上記の従来の問題を解決するためになされたものであって、自動車の内部ネットワークとインフォテインメントネットワークを制限的な物理的単方向通信技術を適用して、外部の悪意的な行為によって自動車が不法制御される脅威を根本的に遮断し、既存の連携されていた情報の円滑な提供を解決することのできる、単方向ゲートウェイ、これを用いた自動車ネットワークシステムおよび自動車内部ネットワーク保護方法を提供することを目的とする。

【課題を解決するための手段】

【0011】

上記の目的を達成するために、本発明の好ましい実施態様に係る単方向ゲートウェイは、車両の内部ネットワークまたはインフォテインメントネットワークの機器と通信を主管する通信制御部と、前記内部ネットワークおよび前記インフォテインメントネットワークの間の通信区間を物理的に単方向に構成した物理的単方向通信部と、前記通信制御部を介して前記内部ネットワークまたはインフォテインメントネットワークの機器から伝送されたデータを前記物理的単方向通信部に伝達し、前記物理的単方向通信部を介して伝送されたデータを前記内部ネットワークまたは前記インフォテインメントネットワークの機器に伝達するデータ送受信部とを備える。

【0012】

前記物理的単方向通信部は、前記内部ネットワークの機器からのデータを受信して出力する単方向送信制御部と、前記単方向送信制御部からのデータを単方向通信により受信して出力する物理的単方向データ送信部と、前記単方向通信により前記物理的単方向データ送信部からのデータを受信して出力する物理的単方向データ受信部と、前記物理的単方向データ受信部からのデータを前記インフォテインメントネットワークの機器に伝達する単方向受信制御部とを備えることができる。

【0013】

前記物理的単方向データ送信部と前記物理的単方向データ受信部との間の単方向データ通信の際、前記物理的単方向データ送信部と前記物理的単方向データ受信部との間の物理的な回線が除去できる。

【0014】

前記物理的単方向データ受信部は、前記物理的単方向データ送信部からのデータを受信することにより、受信状態チェック用信号を前記物理的単方向データ送信部に送ることができる。

【0015】

前記物理的単方向データ送信部は、前記受信状態チェック用信号に基づいて、前記物理的単方向データ受信部のデータの正常受信の有無を確認することができる。

【0016】

前記単方向受信制御部を介して前記インフォテインメントネットワークの機器からの要請を受信することにより、当該要請の正常の有無を判断し、判断結果に基づいて、受信状態チェック用信号を出力する信号送信部と、前記信号送信部からの受信状態チェック用信号に基づいて、当該要請の正常の有無を判断し、当該要請が正常であれば、前記単方向送信制御部に当該要請を送信する信号受信部とを追加的に備えることができる。

【0017】

前記単方向受信制御部は、前記インフォテインメントネットワークの機器からの要請を受信することにより、当該要請の正常の有無を判断した後に、前記信号送信部に伝達することができ、前記単方向送信制御部は、前記信号受信部からの要請を受信して、正常の有無を判断した後に、前記内部ネットワークの機器に伝達することができる。

【0018】

一方、本発明の好ましい実施態様に係る自動車ネットワークシステムは、自動車の内部ネットワークと、自動車のインフォテインメントネットワークと、単方向通信により前記内部ネットワークから前記インフォテインメントネットワークへのデータ伝送のみを行い、前記インフォテインメントネットワークから前記内部ネットワークに送る要請を受信して、正常要請に対してのみ前記内部ネットワークに伝送させる単方向ゲートウェイとを備える。

【0019】

一方、本発明の好ましい実施態様に係る自動車内部ネットワーク保護方法は、単方向ゲートウェイの単方向送信制御部が、内部ネットワークの機器からのデータを前記単方向ゲートウェイの物理的単方向データ送信部に伝達するステップと、前記物理的単方向データ送信部が、受信したデータを単方向通信により前記単方向ゲートウェイの物理的単方向データ受信部に伝送するステップと、前記物理的単方向データ受信部が、前記物理的単方向データ送信部からのデータを前記単方向ゲートウェイの単方向受信制御部に伝送するステップと、前記単方向受信制御部が、前記単方向受信制御部からのデータをインフォテインメントネットワークの機器に伝達するステップとを含む。

【0020】

前記物理的単方向データ受信部に伝送するステップは、前記物理的単方向データ送信部と前記物理的単方向データ受信部との間の物理的な回線を除去することができる。

【0021】

前記物理的単方向データ受信部に伝送するステップと、前記単方向受信制御部に伝送するステップとの間に、前記物理的単方向データ受信部が、前記物理的単方向データ送信部からのデータを受信することにより、受信状態チェック用信号を前記物理的単方向データ送信部に送るステップを追加的に含むことができる。

【0022】

前記物理的単方向データ送信部が、前記受信状態チェック用信号に基づいて、前記物理的単方向データ受信部のデータの正常受信の有無を確認するステップを追加的に含むことができる。

【0023】

前記単方向ゲートウェイの信号送信部が、前記単方向受信制御部を介して前記インフォテインメントネットワークの機器からの要請を受信することにより、当該要請の正常の有無を判断するステップと、前記信号送信部が、前記判断するステップの結果に基づいて、受信状態チェック用信号を出力するステップと、前記単方向ゲートウェイの信号受信部が、前記信号送信部からの受信状態チェック用信号に基づいて、当該要請の正常の有無を判断するステップと、前記信号受信部が、当該要請が正常であれば、前記単方向送信制御部に当該要請を送信するステップとを追加的に含むことができる。

【0024】

前記インフォテインメントネットワークの機器からの要請を受信することにより、当該要請の正常の有無を判断するステップの前に、前記単方向受信制御部が、前記インフォテインメントネットワークの機器からの要請を受信することにより、当該要請の正常の有無を判断した後に、前記信号送信部に伝達するステップを追加的に含むことができる。

【0025】

前記当該要請が正常であれば、前記単方向送信制御部に当該要請を送信するステップの後に、前記単方向送信制御部が、前記信号受信部からの要請を受信して、正常の有無を判断した後に、前記内部ネットワークの機器に伝達するステップを追加的に含むことができる。

【発明の効果】

【0026】

このような構成の本発明によれば、自動車の内部ネットワークとインフォテインメントネットワークとを制限的な物理的単方向通信技術により分離することができる。これによって、外部の悪意的な行為による脅威を根本的に遮断することができ、既存の連携されていた情報の円滑な提供を行うことができる。そして、これにより、自動車の運転者および搭乗者に対する生命を保護するのに寄与することができる。

【0027】

すなわち、情報および便宜提供のための内部ネットワークからインフォテインメントネットワークへの情報提供は維持しながら、外部の侵入経路を除去して、悪意的な行為から自動車の制御権を失わず、運転者および搭乗者の生命を保護することができる。また、このような利点を維持しながら、内部ネットワークへの制限された要請を伝送することができて、多様な機能に対して対応可能である。

【図面の簡単な説明】

【0028】

【図1】従来の自動車ネットワークシステムを示す図である。

【図2】本発明の実施形態に係る自動車ネットワークシステムを示す図である。

【図3】図２に示された単方向ゲートウェイの構成を示す図である。

【図4】図３に示された物理的単方向通信部の構成をより詳細に示す図である。

【図5】本発明の実施形態に係る自動車内部ネットワーク保護方法を説明するためのフローチャートである。

【図6】本発明の実施形態に係る自動車内部ネットワーク保護方法を説明するためのフローチャートである。

【図7】本発明の実施形態が実現されたコンピュータシステムを示す図である。

【発明を実施するための形態】

【0029】

本発明は、多様な変更を加えることができ、様々な実施形態を有することができるが、特定の実施形態を図面に例示して詳細に説明する。

【0030】

しかし、これは、本発明を特定の実施形態について限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物または代替物を含むことが理解されなければならない。

【0031】

本出願で使用した用語は、単に特定の実施形態を説明するために使用されたもので、本発明を限定しようとする意図ではない。単数の表現は、文脈上明らかに異なって表さない限り、複数の表現を含む。本出願において、「含む」または「有する」などの用語は、明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものであって、１つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないことが理解されなければならない。

【0032】

異なって定義されない限り、技術的または科学的な用語を含むここで使用されるすべての用語は、本発明の属する技術分野における通常の知識を有する者によって一般的に理解されるのと同じ意味を有する。一般的に使用される辞書に定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有すると解釈されなければならず、本出願において明らかに定義しない限り、理想的または過度に形式的な意味で解釈されない。

【0033】

以下、添付した図面を参照して、本発明の好ましい実施形態をより詳細に説明する。本発明を説明するにあたり、全体的な理解を容易にするために、図面上の同一の構成要素については同一の参照符号を用い、同一の構成要素について重複した説明は省略する。

【0034】

図２は、本発明の実施形態に係る自動車ネットワークシステムを示す図である。

【0035】

従来の構造では、内部ネットワークとインフォテインメントネットワークは、ゲートウェイを介して互いにデータをやり取りできる双方向通信構造を持っていた。これによって、攻撃の可能性が存在していた。

【0036】

しかし、本発明で提案する構造は、内部ネットワーク１０では、外部ネットワークへのデータ伝送のみが可能であり、インフォテインメントネットワーク２０は、内部ネットワーク１０から伝送されるデータの受信、および内部ネットワーク１０への要請を伝送する。

【0037】

図２において、単方向ゲートウェイ３０は、内部ネットワーク１０とインフォテインメントネットワーク２０との間の通信を支援する。好ましくは、単方向ゲートウェイ３０は、単方向通信機能を支援する。

【0038】

また、単方向ゲートウェイ３０は、インフォテインメントネットワーク２０から内部ネットワーク１０に送る要請を受信して、予め定義された正常要請に対してのみ制限的に内部ネットワーク１０に伝送する。この構造により、内部ネットワーク１０に制限された要請を送ることができて、既存の機能の支援が可能である。

【0039】

さらに、単方向ゲートウェイ３０は、正常に流入するデータ以外のすべてのデータを遮断することで、内部ネットワーク１０への侵入の可能性を根本的に遮断する。

【0040】

図２において、内部ネットワーク１０の構成は、参照符号に違いがあるだけで、図１の内部ネットワーク１と同一である。そして、インフォテインメントネットワーク２０の構成は、参照符号に違いがあるだけで、図１のインフォテインメントネットワーク２と同一である。

【0041】

図３は、図２に示された単方向ゲートウェイの構成を示す図である。

【0042】

単方向ゲートウェイ３０は、通信制御部４０、４２と、データ送受信部４４、４６と、物理的単方向通信部４８とを備える。

【0043】

通信制御部４０、４２は、それぞれ接続された内部ネットワーク１０またはインフォテインメントネットワーク２０の機器と通信を主管する。ここで、通信制御部４０は、内部ネットワーク１０の機器に接続されたと仮定し、通信制御部４２は、インフォテインメントネットワーク２０の機器に接続されたと仮定する。

【0044】

データ送受信部４４、４６は、通信制御部４０、４２と通信する。そして、データ送受信部４４、４６は、接続された機器から伝送されたデータを物理的単方向通信部４８の単方向送信制御部または単方向受信制御部に伝達したり、物理的単方向通信部４８の単方向送信制御部または単方向受信制御部を介して伝送されたデータを接続された機器に伝達する。

【0045】

ここで、データ送受信部４４は、通信制御部４０を介して内部ネットワーク１０の機器に接続されてもよく、データ送受信部４６は、通信制御部４２を介してインフォテインメントネットワーク２０の機器に接続されてもよい。それによって、データ送受信部４４は、接続された機器（例えば、ＥＣＭ１０ａ）から伝送されたデータを物理的単方向通信部４８の単方向送信制御部に伝達したり、物理的単方向通信部４８の単方向送信制御部を介して伝送されたデータを接続された機器（例えば、ＥＣＭ１０ａ）に伝達することができる。一方、データ送受信部４６は、接続された機器（例えば、車両用コンピュータ２０ｃ）から伝送されたデータを物理的単方向通信部４８の単方向受信制御部に伝達したり、物理的単方向通信部４８の単方向受信制御部を介して伝送されたデータを接続された機器（例えば、車両用コンピュータ２０ｃ）に伝達することができる。

【0046】

物理的単方向通信部４８は、既存の双方向通信区間を物理的に単方向に構成することにより、外部の脅威に対応する。

【0047】

また、物理的単方向通信部４８は、既存の単方向通信技術の問題である互いの状態が分からない問題を解決するために、電気的なＯＮ／ＯＦＦなどの方法を利用して状態を伝達する信号送信部および信号受信部を備える。これにより、データの信頼性のある伝達と制限的な要請が可能になる。

【0048】

図４は、図３に示された物理的単方向通信部の構成をより詳細に示す図である。

【0049】

物理的単方向通信部４８は、単方向送信制御部４８ａと、物理的単方向データ送信部４８ｂと、物理的単方向データ受信部４８ｃと、単方向受信制御部４８ｄと、信号送信部４８ｅと、信号受信部４８ｆとを備える。

【0050】

単方向送信制御部４８ａは、基本的に、内部ネットワーク１０の機器から伝送されたデータを物理的単方向データ送信部４８ｂに伝達する役割を果たす。

【0051】

そして、単方向送信制御部４８ａは、信号受信部４８ｆを介して伝達された要請を受信して、正常の有無を判断し、内部ネットワーク１０の機器に要請を伝達する。

【0052】

物理的単方向データ送信部４８ｂは、単方向送信制御部４８ａから伝達されたデータを単方向通信により物理的単方向データ受信部４８ｃに伝送する。この時、物理的単方向データ送信部４８ｂと物理的単方向データ受信部４８ｃとの間の物理的な回線が除去されて、逆方向へのデータ伝送が存在することができない。

【0053】

そして、物理的単方向データ送信部４８ｂは、物理的単方向データ受信部４８ｃからの受信状態チェック用電気的信号を用いて、物理的単方向データ受信部４８ｃがデータを正常に受信したかを確認することができる。すなわち、物理的単方向データ送信部４８ｂは、物理的単方向データ受信部４８ｃから受信状態を知らせる電気的信号が入力され、入力された電気的信号の状態を把握することにより、物理的単方向データ受信部４８ｃでの正常受信の有無を確認することができる。ここで、物理的単方向データ送信部４８ｂは、物理的単方向データ受信部４８ｃがデータを異常受信したならば、正常なデータを再び送信するとよい。これにより、データ伝送の信頼性を保障することができる。

【0054】

物理的単方向データ受信部４８ｃは、物理的単方向データ送信部４８ｂから送信されたデータを単方向で受信して、受信状態チェック用電気的信号を用いて、正常受信の有無を物理的単方向データ送信部４８ｂに知らせることができる。そして、物理的単方向データ受信部４８ｃは、受信されたデータを単方向受信制御部４８ｄに伝送する。

【0055】

単方向受信制御部４８ｄは、基本的に、物理的単方向データ受信部４８ｃを介して伝達されたデータをインフォテインメントネットワーク２０の機器に伝達する役割を果たす。

【0056】

そして、単方向受信制御部４８ｄは、インフォテインメントネットワーク２０の機器から要請が入ると、当該要請の正常の有無を判断し、信号送信部４８ｅに要請命令を伝達する。

【0057】

信号送信部４８ｅは、単方向受信制御部４８ｄからの要請命令を受信し、もう一度正常の有無を判断する。そして、信号送信部４８ｅは、判断結果に基づいて、電気的信号の状態設定により、要請を信号受信部４８ｆに伝達する。

【0058】

信号受信部４８ｆは、信号送信部４８ｅからの電気的信号の状態を把握して、当該要請の正常の有無を判断する。そして、信号受信部４８ｆは、受信された要請が正常であれば、単方向送信制御部４８ａに当該要請を送信する。

【0059】

本発明の実施形態は、上述したような一連の構造を有することにより、物理的な単方向データ通信構造を持ちながら、制限的な要請の伝達を行うことができる。

【0060】

また、上述した構造を自動車のネットワークシステムに適用すると、自動車の内部ネットワーク１０とインフォテインメントネットワーク２０との分離がより強く行われることにより、外部の脅威から自動車の安全を守ることができ、自動車の状態情報などの伝達が容易で、技術適用の便宜性を向上させることができる。

【0061】

図５および図６は、本発明の実施形態に係る自動車内部ネットワーク保護方法を説明するためのフローチャートである。

【0062】

まず、図５を参照して、内部ネットワーク１０からインフォテインメントネットワーク２０への情報提供は維持しながら、外部の侵入経路を除去する動作を説明する。

【0063】

内部ネットワーク１０の機器（例えば、ＥＣＭ１０ａ、ＢＣＭ１０ｂ、ＴＣＭ１０ｃ、ＡＢＣＭ１０ｄのうちの１つ）から出力されるデータは、単方向ゲートウェイ３０に伝送される。それによって、単方向ゲートウェイ３０内の単方向送信制御部４８ａは、内部ネットワーク１０の機器から伝送されたデータを物理的単方向データ送信部４８ｂに伝達する（Ｓ１０）。

【0064】

物理的単方向データ送信部４８ｂは、単方向送信制御部４８ａからのデータを単方向通信により物理的単方向データ受信部４８ｃに伝送する（Ｓ１２）。この時、物理的単方向データ送信部４８ｂまたは物理的単方向データ受信部４８ｃは、相手との物理的な回線を除去して、逆方向へのデータ伝送が存在しないようにする。

【0065】

そして、物理的単方向データ受信部４８ｃは、受信状態チェック用電気的信号を物理的単方向データ送信部４８ｂに送る。物理的単方向データ送信部４８ｂは、物理的単方向データ受信部４８ｃからの受信状態チェック用電気的信号を用いて、物理的単方向データ受信部４８ｃのデータの正常受信の有無を確認することができる。

【0066】

仮に、確認の結果、物理的単方向データ受信部４８ｃで正常なデータを受信した場合（Ｓ１４で、「Ｙｅｓ」）には、物理的単方向データ受信部４８ｃは、物理的単方向データ送信部４８ｂからのデータを単方向受信制御部４８ｄに伝送する。それによって、単方向受信制御部４８ｄは、受信したデータをインフォテインメントネットワーク２０の機器（例えば、オーディオ２０ａ、ナビゲーション２０ｂ、車両用コンピュータ２０ｃ、外部通信２０ｄのうちの１つ）に伝達する（Ｓ１６）。

【0067】

上述したような動作によって、内部ネットワーク１０からインフォテインメントネットワーク２０への情報提供は維持しながら、外部の侵入経路を除去して、悪意的な行為から自動車の制御権を失わず、運転者および搭乗者の生命を保護することができる。

【0068】

以下、図６を参照して、内部ネットワーク１０への制限された要請のみを伝送可能な動作を説明する。

【0069】

単方向受信制御部４８ｄは、インフォテインメントネットワーク２０の機器から要請を受信する（Ｓ２０）。

【0070】

次に、単方向受信制御部４８ｄは、当該要請の正常の有無を判断した後に、要請命令を信号送信部４８ｅに送信する（Ｓ２２、Ｓ２４）。

【0071】

それによって、信号送信部４８ｅは、受信した要請命令の正常の有無をもう一度判断した後に、正常または異常を意味する状態を設定し、状態が設定された電気的信号により、当該要請を信号受信部４８ｆに伝達する（Ｓ２６）。

【0072】

信号受信部４８ｆは、電気的信号の状態を把握して、当該要請の正常の有無を判断する（Ｓ２８）。

【0073】

仮に、正常と判断された場合（Ｓ３０で、「Ｙｅｓ」）、信号受信部４８ｆは、当該要請を単方向送信制御部４８ａに送信する（Ｓ３２）。すなわち、信号受信部４８ｆは、予め定義された正常要請に対してのみ単方向送信制御部４８ａへの送信を行うものとする。

【0074】

単方向送信制御部４８ａは、受信した要請の正常の有無を判断した後に、内部ネットワーク１０の機器に当該要請を伝達する（Ｓ３４）。ここで、単方向送信制御部４８ａは、予め定義された正常要請に対してのみ内部ネットワーク１０の機器への送信を行うものとしてもよい。

【0075】

一方、上述した本発明の実施形態は、コンピュータシステムで実現可能である。図７に示されているように、コンピュータシステム１２０は、バス１２２を介して互いに通信する１つ以上のプロセッサ１２１と、メモリ１２３と、ユーザインタフェース入力装置１２６と、ユーザインタフェース出力装置１２７と、ストレージ１２８とを備えることができる。また、コンピュータシステム１２０は、ネットワーク１３０に接続される１つ以上のネットワークインタフェース１２９をさらに備えることができる。プロセッサ１２１は、中央処理装置またはメモリ１２３またはストレージ１２８に格納されたプロセッシングインストラクションを実行する半導体装置であってよい。メモリ１２３およびストレージ１２８は、多様な形態の揮発性または不揮発性格納媒体であってよい。例えば、メモリ１２３は、ＲＯＭ１２４やＲＡＭ１２５を含むことができる。

【0076】

そして、ＩｏＴ時代に備えて、コンピュータシステム１２０を小型のコンピューティングデバイスで実現させた場合、コンピューティングデバイスにイーサネット（Ｅｔｈｅｒｎｅｔ（登録商標））ケーブルを接続すると、無線共用器のように動作して、モバイルデバイスが無線でゲートウェイに付いて暗復号化機能を行うことができるので、このために、コンピュータシステム１２０は、無線通信チップ（ワイファイチップ）１３１を追加的に含むことができる。

【0077】

したがって、本発明の実施形態は、コンピュータで実現された方法やコンピュータで実行可能な命令語が記録された非一時的なコンピュータ読取可能な媒体で実現可能である。コンピュータ読取可能な命令語がプロセッサによって行われる時、コンピュータ読取可能な命令語は、本発明の少なくとも一態様に係る方法を行うことができる。

【0078】

以上、図面と明細書で最適な実施形態が開示された。ここで、特定の用語が使用されたが、これは単に本発明を説明するための目的で使用されたものであって、意味の限定や特許請求の範囲に記載された本発明の範囲を制限するために使用されたものではない。そのため、本技術分野における通常の知識を有する者であれば、これから多様な変形および均等な他の実施形態が可能である点を理解するであろう。したがって、本発明の真の技術的保護範囲は、添付した特許請求の範囲の技術的思想によって定められなければならない。

【符号の説明】

【0079】

１０：内部ネットワーク
２０：インフォテインメントネットワーク
３０：単方向ゲートウェイ
４０、４２：通信制御部
４４、４６：データ送受信部
４８：物理的単方向通信部
４８ａ：単方向送信制御部
４８ｂ：物理的単方向データ送信部
４８ｃ：物理的単方向データ受信部
４８ｄ：単方向受信制御部
４８ｅ：信号送信部
４８ｆ：信号受信部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】