特許第6852604号(P6852604)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 住友電気工業株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 住友電気工業株式会社の特許一覧 ▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧

特許6852604車載装置、管理方法および管理プログラム
<>
  • 特許6852604-車載装置、管理方法および管理プログラム 図000002
  • 特許6852604-車載装置、管理方法および管理プログラム 図000003
  • 特許6852604-車載装置、管理方法および管理プログラム 図000004
  • 特許6852604-車載装置、管理方法および管理プログラム 図000005
  • 特許6852604-車載装置、管理方法および管理プログラム 図000006
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6852604
(24)【登録日】2021年3月15日
(45)【発行日】2021年3月31日
(54)【発明の名称】車載装置、管理方法および管理プログラム
(51)【国際特許分類】
   H04L 12/46 20060101AFI20210322BHJP
   H04L 12/66 20060101ALI20210322BHJP
   B60R 16/02 20060101ALI20210322BHJP
   G06F 21/57 20130101ALI20210322BHJP
   G06F 21/62 20130101ALI20210322BHJP
   G06F 21/44 20130101ALI20210322BHJP
【FI】
   H04L12/46 Z
   H04L12/46 100C
   H04L12/66 B
   B60R16/02 660T
   G06F21/57 320
   G06F21/62
   G06F21/44
【請求項の数】9
【全頁数】19
(21)【出願番号】特願2017-135844(P2017-135844)
(22)【出願日】2017年7月12日
(65)【公開番号】特開2019-21973(P2019-21973A)
(43)【公開日】2019年2月7日
【審査請求日】2020年2月21日
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(73)【特許権者】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(73)【特許権者】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(74)【代理人】
【識別番号】110000682
【氏名又は名称】特許業務法人ワンディーIPパートナーズ
(72)【発明者】
【氏名】小川 明紘
(72)【発明者】
【氏名】浦山 博史
(72)【発明者】
【氏名】萩原 剛志
(72)【発明者】
【氏名】藪内 靖弘
【審査官】 鈴木 肇
(56)【参考文献】
【文献】 特許第6140874(JP,B1)
【文献】 特表2014−526999(JP,A)
【文献】 国際公開第2016/075865(WO,A1)
【文献】 特開2016−072675(JP,A)
【文献】 国際公開第2015/129352(WO,A1)
【文献】 特開2017−033248(JP,A)
【文献】 特開2002−202895(JP,A)
【文献】 特開2008−059450(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00−12/955
B60R 16/00−17/02
G06F 21/00−21/88
(57)【特許請求の範囲】
【請求項1】
車両に搭載される車載装置であって、
処理部と、
前記車両が所定の停車状態であるか否かを判定する判定部と、
前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、
前記セキュア領域には、外部装置が前記車載装置を制御するための暗号化された制御用情報が保存されており、
前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う、車載装置。
【請求項2】
前記車載装置は、さらに、
前記外部装置に対する認証処理を行う認証部を備え、
前記処理部は、前記判定部が肯定的な判定を行い、かつ前記認証処理が成功した場合に前記取得処理を行う、請求項1に記載の車載装置。
【請求項3】
前記セキュア領域に前記判定部が含まれる、請求項1または請求項2に記載の車載装置。
【請求項4】
前記セキュア領域の内部に第1の前記判定部が含まれ、かつ前記セキュア領域の外部に第2の前記判定部が含まれ、
前記処理部は、前記第1の判定部および前記第2の判定部の両方が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記取得処理を行う、請求項3に記載の車載装置。
【請求項5】
前記所定の停車状態は、駐車状態である、請求項1から請求項4のいずれか1項に記載の車載装置。
【請求項6】
前記処理部は、前記車両が動き出した場合、または前記制御用情報の使用を終了した場合に、前記制御用情報を破棄する、請求項1から請求項5のいずれか1項に記載の車載装置。
【請求項7】
前記処理部は、前記判定部が否定的な判定を行った場合、前記制御用情報により実現される機能の、前記外部装置からの起動要請を拒否する旨の応答を行う、請求項1から請求項6のいずれか1項に記載の車載装置。
【請求項8】
車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、
前記セキュア領域には、外部装置が前記車載装置を制御するための暗号化された制御用情報が保存されており、
前記車両が所定の停車状態であるか否かを判定するステップと、
判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む、管理方法。
【請求項9】
車両に搭載される車載装置において用いられる管理プログラムであって、
コンピュータを、
処理部と、
前記車両が所定の停車状態であるか否かを判定する判定部、
として機能させるためのプログラムであり、
前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、
前記セキュア領域には、外部装置が前記車載装置を制御するための暗号化された制御用情報が保存されており、
前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う、管理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車載装置、管理方法および管理プログラムに関する。
【背景技術】
【0002】
従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
【0003】
たとえば、特許文献1(国際公開第2013/51122号)には、以下のような車載ネットワークシステムが開示されている。すなわち、車載ネットワークシステムは、車両内部機器と車両外部機器との間のデータ中継を行う中継装置を備える車載ネットワークシステムであって、自車両が走行状態にある場合に、前記中継装置による前記データ中継を禁止する中継制御手段を備える。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】国際公開第2013/51122号
【非特許文献】
【0005】
【非特許文献1】“IT用語辞典 e−Words”、[online]、[平成29年5月1日検索]、インターネット〈URL:http://e−words.jp/w/耐タンパー性.html〉
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の車載ネットワークシステムでは、自車両が走行状態にある場合に車両外部機器との通信を遮断することで、車両外部機器による不正アクセスを防止する。しかしながら、中継装置では、中継機能よりも管理機能にセキュリティ上の脆弱性を抱えることが多い。具体的には、たとえば、中継を許可するパケットの種類が不正に書き換えられると、不正なパケットも中継されて車両内部機器に送信されるため、車両内部機器が車両の外部から攻撃に対して無防備になってしまう。
【0007】
この発明は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおいて、良好な通信を提供することが可能な車載装置、管理方法および管理プログラムを提供することである。
【課題を解決するための手段】
【0008】
(1)上記課題を解決するために、この発明のある局面に係わる車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
【0009】
(8)上記課題を解決するために、この発明のある局面に係わる管理方法は、車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記車両が所定の停車状態であるか否かを判定するステップと、判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む。
【0010】
(9)上記課題を解決するために、この発明のある局面に係わる管理プログラムは、車両に搭載される車載装置において用いられる管理プログラムであって、コンピュータを、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部、として機能させるためのプログラムであり、前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
【0011】
本発明は、このような特徴的な処理部を備える車載装置として実現することができるだけでなく、車載装置を備える車載通信システムとして実現することができる。また、本発明は、車載装置の一部または全部を実現する半導体集積回路として実現することができる。
【発明の効果】
【0012】
本発明によれば、車載ネットワークにおいて、良好な通信を提供することができる。
【図面の簡単な説明】
【0013】
図1図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
図2図2は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図3図3は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が起動要求を受信した際の動作手順を定めたフローチャートである。
図4図4は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が取得処理を行う際の動作手順を定めたフローチャートである。
図5図5は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が監視処理を行う際の動作手順を定めたフローチャートである。
【発明を実施するための形態】
【0014】
最初に、本発明の実施形態の内容を列記して説明する。
【0015】
(1)本発明の実施の形態に係る車載装置は、車両に搭載される車載装置であって、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
【0016】
このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
【0017】
(2)好ましくは、前記車載装置は、さらに、前記外部装置に対する認証処理を行う認証部を備え、前記処理部は、前記判定部が肯定的な判定を行い、かつ前記認証処理が成功した場合に前記取得処理を行う。
【0018】
たとえば、外部装置が不正な装置である場合、外部装置に対する認証処理が失敗する可能性が高い。上記の構成により、不正な外部装置が制御用情報を悪用する可能性をより低減することができる。
【0019】
(3)好ましくは、前記セキュア領域に前記判定部が含まれる。
【0020】
このように、容易にアクセスすることが困難なセキュア領域に判定部が含まれる構成により、判定部をハッキングから守ることができるので、たとえば、判定部を不正に操作することで判定部に肯定的な判定を行わせ、制御用情報を不正に取得することを防ぐことができる。
【0021】
(4)より好ましくは、セキュア領域の内部に第1の前記判定部が含まれ、かつ前記セキュア領域の外部に第2の前記判定部が含まれ、前記処理部は、前記第1の判定部および前記第2の判定部の両方が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記取得処理を行う。
【0022】
このような構成により、たとえば、第1の判定部および第2の判定部のいずれか一方が不正に操作されて肯定的な判定を強制されても、不正な操作から逃れた判定部が正しい判定を行うことができるので、制御用情報を不正に取得することをより確実に防ぐことができる。
【0023】
(5)好ましくは、前記所定の停車状態は、駐車状態である。
【0024】
このように、所定の停車状態を駐車状態とする構成により、たとえば、制御用情報が悪用され、車載装置が乗っ取られて遠隔操作されても、車両が駐車状態であるので車両の暴走を防ぐことができる。
【0025】
(6)好ましくは、前記処理部は、前記車両が動き出した場合、または前記制御用情報の使用を終了した場合に、前記制御用情報を破棄する。
【0026】
このように、制御用情報を使用すべきでない場合、または制御用情報を使用しない場合に、制御用情報を破棄する構成により、制御用情報が悪用される機会を低減することができる。
【0027】
(7)好ましくは、前記処理部は、前記判定部が否定的な判定を行った場合、前記制御用情報により実現される機能の、前記外部装置からの起動要請を拒否する旨の応答を行う。
【0028】
このような構成により、車両において制御用情報の使用が制限されていることを、制御用情報の使用を要請した外部装置に通知することができる。
【0029】
(8)本発明の実施の形態に係る管理方法は、車両に搭載され、処理部と、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備える車載装置における管理方法であって、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記車両が所定の停車状態であるか否かを判定するステップと、判定した結果が肯定的な場合、前記処理部が、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行うステップとを含む。
【0030】
このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
【0031】
(9)本発明の実施の形態に係る管理プログラムは、車両に搭載される車載装置において用いられる管理プログラムであって、コンピュータを、処理部と、前記車両が所定の停車状態であるか否かを判定する判定部、として機能させるためのプログラムであり、前記車載装置は、前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域を備え、前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行う。
【0032】
このように、車両が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域から制御用情報を取得する構成により、制御用情報を使用すべきでない車両の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時に車載装置が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
【0033】
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0034】
[構成および基本動作]
図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
【0035】
図1を参照して、車載通信システム301は、ゲートウェイ装置(車載装置)101と、複数の機能部111と、複数の機能部161とを備える。車載通信システム301は、車両1に搭載される。
【0036】
機能部111は、たとえば、自動運転ECU(Electronic Control Unit)、センサ、ナビゲーション装置、TCU(Telematics Communication Unit)、セントラルゲートウェイ(CGW)、ヒューマンマシンインタフェース、およびカメラ等である。
【0037】
ゲートウェイ装置101および機能部111は、たとえば、車載のイーサネット(登録商標)通信用のケーブル(以下、イーサネットケーブルとも称する。)10により互いに接続されている。
【0038】
ゲートウェイ装置101および機能部111は、イーサネットケーブル10を用いて互いに通信する。ゲートウェイ装置101および機能部111間では、たとえば、IEEE802.3に従うイーサネットフレームを用いて情報のやり取りが行われる。
【0039】
機能部161は、たとえば、エンジン、AT(Automatic Transmission)、ブレーキおよびエアコン等の制御装置、ならびに各種センサである。
【0040】
ゲートウェイ装置101は、たとえばCANの規格に従うバス(以下、CANバスとも称する。)11を介して機能部161と接続されている。
【0041】
CANバス11は、たとえば系統別に設けられる。具体的には、CANバス11は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バス等である。
【0042】
ゲートウェイ装置101および機能部161は、CANバス11を用いて互いに通信する。ゲートウェイ装置101および機能部161間では、たとえば、CANの通信規格に従うメッセージを用いて情報のやり取りが行われる。
【0043】
ゲートウェイ装置101は、車載ネットワークにおけるデータを中継する中継処理を行う。
【0044】
より詳細には、ゲートウェイ装置101は、たとえば、異なるCANバス11にそれぞれ接続された機能部161間におけるデータの中継処理、各機能部111間におけるデータの中継処理、ならびに機能部111および機能部161間におけるデータの中継処理を行う。
【0045】
なお、ゲートウェイ装置101は、イーサネットケーブル10およびCANバス11を介して機能部111,161と接続される構成に限らず、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスを介して機能部111,161と接続される構成であってもよい。
【0046】
図2は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
【0047】
図2を参照して、ゲートウェイ装置101は、運用領域51と、セキュア領域52と、中継部53と、外部装置用ポート54とを備える。運用領域51は、処理部21と、車両状態判定部22と、認証部23とを含む。セキュア領域52は、セキュア制御部31と、車両状態判定部32と、セキュア記憶部33とを含む。
【0048】
外部装置用ポート54には、たとえば、外部装置の一例である管理ツールが接続可能である。管理ツールは、たとえば、ゲートウェイ装置101および機能部111,161におけるファームウェアの更新および検査を行う。
【0049】
中継部53は、車載ネットワークにおけるデータを中継する中継処理を行う。また、たとえば、管理ツールが外部装置用ポート54を介してゲートウェイ装置101に接続された場合、中継部53は、管理ツールと通信を行う。
【0050】
中継部53は、自己宛の情報を管理ツールから受信すると、受信した情報を運用領域51へ出力する。また、中継部53は、管理ツール宛の情報を運用領域51から受けると、受けた情報を管理ツールへ送信する。また、中継部53は、管理ツールと機能部111および機能部161との間におけるデータを中継する。
【0051】
セキュア領域52は、たとえば、セキュアIC(Integrated Circuit)である。セキュア領域52におけるセキュア記憶部33は、制御用情報の一例である管理プログラムを記憶する。管理プログラムは、たとえば、処理部21に管理機能を実現させるためのプログラムである。
【0052】
ここで、管理機能は、たとえば、コマンド操作するためのコンソールを管理ツールに提供するための機能、ゲートウェイ装置101および管理ツール間の通信を行うための機能、ならびに中継部53におけるフィルタ設定等を行うための機能を含む。フィルタ設定により、中継を許可すべきメッセージおよびイーサネットフレームの種類が設定される。
【0053】
また、セキュア記憶部33は、たとえば、非特許文献1(“IT用語辞典 e−Words”、[online]、[平成29年5月1日検索]、インターネット〈URL:http://e−words.jp/w/耐タンパー性.html〉)に記載の耐タンパー性を有している。
【0054】
ここで、耐タンパー性は、ソフトウェアおよびハードウェアが備える、内部構造およびデータ等の解析の困難さを表す。言い換えると、耐タンパー性は、非正規な手段による機密データの読み取りを防ぐ能力である。この例では、セキュア記憶部33に保存された管理プログラムは、所定の暗号方式に従ってセキュア制御部31によって暗号化されている。
【0055】
たとえば、管理ツールが外部装置用ポート54を介してゲートウェイ装置101に接続された状況を想定する。
【0056】
管理ツールは、たとえば、管理プログラムの起動要請を示す起動要求をゲートウェイ装置101へ送信する。
【0057】
ゲートウェイ装置101における中継部53は、管理ツールから外部装置用ポート54経由で起動要求を受信すると、受信した起動要求を運用領域51へ出力する。
【0058】
運用領域51は、たとえば、MPU(Micro Processing Unit)である。
【0059】
運用領域51における処理部21は、中継部53から起動要求を受けると、自己の車両1の状態を判定させる判定命令を車両状態判定部22へ出力する。
【0060】
車両状態判定部22は、自己の車両1が所定の停車状態であるか否かを判定する。ここで、停車状態は、たとえば、車両1の速度が所定のしきい値未満の状態である。当該所定のしきい値は、たとえば1キロメートル毎時である。停車状態には様々な状態があり、停車状態の一例として駐車状態がある。
【0061】
本実施の形態では、所定の停車状態は駐車状態であるとして、以下説明する。すなわち、本実施の形態では、車両状態判定部22は、たとえば、自己の車両1が駐車状態であるか否かを判定する。
【0062】
より詳細には、車両状態判定部22には、監視対象とすべきメッセージ(以下、判定用メッセージとも称する。)がたとえばユーザにより登録されている。
【0063】
具体的には、判定用メッセージは、たとえば、オートマチックギアのシフトレンジを示す情報を含むメッセージ、サイドブレーキの状態を示す情報を含むメッセージ、フットブレーキの状態を示す情報を含むメッセージ、および車速情報を含むメッセージ等である。
【0064】
車両状態判定部22は、中継部53が中継するメッセージを監視し、中継部53が判定用メッセージを中継する際、判定用メッセージを中継部53から取得し、取得した判定用メッセージに基づいて自己の車両1の状態を判定する。
【0065】
具体的には、車両状態判定部22は、たとえば、所定条件C1〜C4のうちの少なくともいずれか1つが満たされた場合、自己の車両1が所定の停車状態すなわち駐車状態であると判定する。
【0066】
ここで、所定条件C1は、たとえばシフトレンジがパーキングの位置にある状態であることである。
【0067】
所定条件C2は、たとえば、シフトレンジがニュートラルの位置にあり、かつサイドブレーキが作動している状態であることである。
【0068】
所定条件C3は、たとえば、シフトレンジがニュートラルの位置にあり、かつフットブレーキが作動している状態であることである。
【0069】
所定条件C4は、たとえば、シフトレンジがニュートラルの位置にあり、かつ車速がゼロの状態であることである。
【0070】
一方、車両状態判定部22は、所定条件C1〜C4のうちのいずれも満たされない場合、自己の車両1が所定の停車状態でないと判定する。
【0071】
車両状態判定部22は、処理部21から判定命令を受けると、判定結果を示す判定結果情報を作成し、作成した判定結果情報を処理部21へ出力する。
【0072】
処理部21は、たとえば、車両状態判定部22が否定的な判定を行った場合、管理プログラムにより実現される機能の、管理ツールからの起動要求を拒否する旨の応答を行う。
【0073】
一方、処理部21は、たとえば、車両状態判定部22が肯定的な判定を行い、かつ認証処理が成功した場合、セキュア領域52にアクセスし、管理ツールがゲートウェイ装置101を制御するための管理プログラムをセキュア領域52から取得する取得処理を行う。
【0074】
より詳細には、処理部21は、判定命令の応答として判定結果情報を車両状態判定部22から受けると、以下の処理を行う。
【0075】
すなわち、処理部21は、判定結果情報が自己の車両1が所定の停車状態でないことを示す場合、起動要求の拒絶を示す拒絶情報を中継部53および外部装置用ポート54経由で管理ツールへ送信する。
【0076】
一方、処理部21は、判定結果情報が自己の車両1が所定の停車状態であることを示す場合、管理ツールを認証させる認証命令を認証部23へ出力する。
【0077】
認証部23は、たとえば、外部装置に対する認証処理を行う。より詳細には、認証部23は、認証命令を処理部21から受けると、中継部53および外部装置用ポート54を介して管理ツールと認証用のIPパケットをやり取りすることにより管理ツールの認証を試みる。
【0078】
認証部23は、管理ツールの認証に成功した場合、認証成功情報を処理部21へ出力する。一方、認証部23は、管理ツールの認証に失敗した場合、認証失敗情報を処理部21へ出力する。
【0079】
セキュア領域52は、耐タンパー性の一例として、処理部21が所定の情報を出力した場合に処理部21からアクセス可能である。
【0080】
より詳細には、セキュア領域52におけるセキュア記憶部33は、たとえば、処理部21が所定の情報を出力した場合に処理部21からのアクセスが許可される。
【0081】
この例では、セキュア記憶部33は、処理部21が所定の手順P1に従った場合に処理部21からアクセス可能であり、手順P1に従わない場合にはアクセスできない。
【0082】
より詳細には、セキュア制御部31は、セキュア記憶部33にアクセス可能である。一方、処理部21は、セキュア領域52におけるセキュア制御部31により認証された場合にしかセキュア記憶部33にアクセスできない。
【0083】
処理部21は、認証命令の応答として認証成功情報を認証部23から受けると、たとえば、セキュア記憶部33にアクセスするためのアクセス要求をセキュア領域52へ出力する。
【0084】
セキュア領域52におけるセキュア制御部31は、処理部21からアクセス要求を受けると、自己の車両1の状態を判定させる判定命令を車両状態判定部32へ出力する。
【0085】
車両状態判定部32は、車両1が所定の停車状態であるか否かを判定する。より詳細には、車両状態判定部32には、車両状態判定部22と同様に、判定用メッセージがたとえばユーザにより登録されている。
【0086】
車両状態判定部32は、中継部53が中継するメッセージを監視し、中継部53が判定用メッセージを中継する際、判定用メッセージを中継部53から取得し、取得した判定用メッセージに基づいて自己の車両1の状態を判定する。
【0087】
具体的には、車両状態判定部32は、たとえば、所定条件C1〜C4のうちの少なくともいずれか1つが満たされた場合、自己の車両1が所定の停車状態であると判定する。
【0088】
一方、車両状態判定部32は、所定条件C1〜C4のうちのいずれも満たされない場合、自己の車両1が所定の停車状態でないと判定する。
【0089】
車両状態判定部32は、セキュア制御部31から判定命令を受けると、判定結果を示す判定結果情報を作成し、作成した判定結果情報をセキュア制御部31へ出力する。
【0090】
セキュア制御部31は、判定命令の応答として判定結果情報を車両状態判定部32から受けると、以下の処理を行う。
【0091】
すなわち、セキュア制御部31は、判定結果情報が自己の車両1が所定の停車状態でないことを示す場合、アクセス不許可を示す不許可情報を処理部21へ出力する。
【0092】
処理部21は、アクセス要求の応答として不許可情報をセキュア制御部31から受けると、セキュア領域52へのアクセスに失敗したと認識し、拒絶情報を中継部53および外部装置用ポート54経由で管理ツールへ送信する。
【0093】
一方、セキュア制御部31は、判定結果情報が自己の車両1が所定の停車状態であることを示す場合、認証情報の要求を示す認証情報要求を処理部21へ出力する。
【0094】
処理部21は、セキュア制御部31から認証情報要求を受けると、受けた認証情報要求に従って、たとえば、専用鍵、パスワード、またはパスワードとIDとの組み合わせ等を含む認証情報をセキュア制御部31へ出力する。
【0095】
セキュア制御部31は、処理部21から認証情報を受けると、受けた認証情報を認証する。セキュア制御部31は、認証情報の認証に失敗した場合、不許可情報を処理部21へ出力する。一方、セキュア制御部31は、認証情報の認証に成功した場合、アクセス許可を示す許可情報を処理部21へ出力する。
【0096】
処理部21は、セキュア制御部31から許可情報を受けた場合、セキュア制御部31を介してセキュア記憶部33へのアクセスが可能となるが、セキュア制御部31から不許可情報を受けた場合、セキュア記憶部33へのアクセスがセキュア制御部31によってブロックされる。
【0097】
なお、セキュア制御部31による処理部21の認証は、上記の手順P1に従う構成に限らず、たとえば、処理部21がアクセス要求を送信せずにいきなり認証情報をセキュア制御部31へ送信し、セキュア制御部31が、処理部21から受けた認証情報を認証する構成であってもよい。
【0098】
処理部21は、認証情報の応答として不許可情報をセキュア制御部31から受けると、認証に失敗したと認識し、拒絶情報を中継部53および外部装置用ポート54経由で管理ツールへ送信する。
【0099】
一方、処理部21は、認証情報の応答として許可情報をセキュア制御部31から受けると、認証に成功したと認識し、管理プログラムをセキュア制御部31に要求する。
【0100】
セキュア制御部31は、処理部21の要求に応じて、暗号化された管理プログラムをセキュア記憶部33から取得し、所定の暗号方式に従って管理プログラムを復号する。そして、セキュア制御部31は、復号後の管理プログラムを処理部21へ出力する。
【0101】
処理部21は、セキュア制御部31から管理プログラムを受けると、受けた管理プログラムを使用する。
【0102】
より詳細には、処理部21は、たとえば、管理プログラムを保持し、保持した管理プログラムに基づいて、管理プログラムのインスタンスであるプロセス(以下、対象プロセスとも称する。)を生成する。なお、処理部21は、たとえば、管理プログラムを図示しないRAM(Random Access Memory)に保持してもよい。
【0103】
処理部21は、たとえば、車両1が動き出した場合、または管理プログラムの使用を終了した場合に、管理プログラムを破棄する。
【0104】
より詳細には、処理部21は、管理プログラムを使用する際に、車両状態判定部22における判定結果の監視、および生成した対象プロセスの監視を開始する。そして、処理部21は、監視結果に基づいて管理プログラムを破棄する。
【0105】
より詳細には、処理部21は、たとえば、所定時間T1ごとに判定命令を車両状態判定部22へ出力し、判定命令の応答として判定結果情報を車両状態判定部22から受ける。
【0106】
処理部21は、車両状態判定部22から受けた判定結果情報が自己の車両1が所定の停車状態でないことを示す場合、保持している管理プログラムを破棄する。
【0107】
また、処理部21は、監視している対象プロセスが消滅した場合、保持している管理プログラムを破棄する。なお、処理部21は、管理プログラムを破棄する代わりに管理プログラムをセキュア記憶部33へ戻してもよい。
【0108】
一方、処理部21は、判定結果情報が自己の車両1が所定の停車状態であることを示す場合、および対象プロセスが消滅していない場合、管理プログラムの保持を継続する。
【0109】
[動作の流れ]
ゲートウェイ装置は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下に示すフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリから読み出して実行する。この装置のプログラムは、外部からインストールすることができる。この装置のプログラムは、記録媒体に格納された状態で流通する。
【0110】
図3は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が起動要求を受信した際の動作手順を定めたフローチャートである。
【0111】
図3を参照して、まず、ゲートウェイ装置101は、起動要求を管理ツールから受信するまで、メッセージおよびイーサネットフレームの中継処理を行う(ステップS102でNO)。
【0112】
そして、ゲートウェイ装置101は、起動要求を管理ツールから受信すると(ステップS102でYES)、運用領域51において、自己の車両1が所定の停車状態であるか否かを判定する判定処理を行う(ステップS104)。
【0113】
次に、ゲートウェイ装置101は、自己の車両1が所定の停車状態である場合(ステップS106でYES)、管理ツールを認証する認証処理を行う(ステップS108)。
【0114】
次に、ゲートウェイ装置101は、管理ツールの認証に成功した場合(ステップS110でYES)、取得処理を行う(ステップS112)。
【0115】
また、ゲートウェイ装置101は、自己の車両1が所定の停車状態でない場合(ステップS106でNO)、および管理ツールの認証に失敗した場合(ステップS110でNO)、拒絶情報を管理ツールへ送信する(ステップS114)。
【0116】
図4は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が取得処理を行う際の動作手順を定めたフローチャートである。図4は、図3のステップS112における動作の詳細を示している。
【0117】
図4を参照して、まず、ゲートウェイ装置101は、セキュア領域52へアクセス要求を出力する(ステップS202)。
【0118】
次に、ゲートウェイ装置101は、セキュア領域52において、自己の車両1が所定の停車状態であるか否かを判定する判定処理を行う(ステップS204)。
【0119】
次に、ゲートウェイ装置101は、自己の車両1が所定の停車状態である場合(ステップS206でYES)、セキュア領域52へ認証情報を出力する(ステップS208)。
【0120】
次に、ゲートウェイ装置101は、認証情報が正当である場合(ステップS210でYES)、セキュア記憶部33へのアクセスが許可される(ステップS212)。
【0121】
次に、ゲートウェイ装置101は、セキュア記憶部33から管理プログラムを取得し、取得した管理プログラムを保持して使用する(ステップS214)。
【0122】
次に、ゲートウェイ装置101は、車両1の状態および管理プログラムの使用状況を監視する監視処理を行う(ステップS216)。
【0123】
また、ゲートウェイ装置101は、自己の車両1が所定の停車状態でない場合(ステップS206でNO)、および認証情報が正当でない場合(ステップS210でNO)、セキュア記憶部33へのアクセスが許可されない(ステップS218)。
【0124】
次に、ゲートウェイ装置101は、拒絶情報を管理ツールへ送信する(ステップS220)。
【0125】
図5は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置が監視処理を行う際の動作手順を定めたフローチャートである。図5は、図4のステップS216における動作の詳細を示している。
【0126】
図5を参照して、まず、ゲートウェイ装置101は、所定時間T1ごとの運用領域51における判定処理の結果の監視、および対象プロセスの監視を開始する(ステップS302)。
【0127】
次に、ゲートウェイ装置101は、自己の車両1が所定の停車状態であり、かつ対象プロセスが消滅していない場合、(ステップS304でYESおよびステップS306でNO)、管理プログラムの保持および使用を継続する。
【0128】
一方、ゲートウェイ装置101は、自己の車両1が所定の停車状態でなくなった場合(ステップS304でNO)、または対象プロセスが消滅した場合(ステップS306でYES)、保持している管理プログラムを破棄する(ステップS308)。
【0129】
なお、本発明の実施の形態に係る車載通信システムでは、ゲートウェイ装置101が上述の動作を行う構成であるとしたが、これに限定するものではない。車載通信システム301において、機能部が上述の動作を行う構成であってもよい。
【0130】
また、本発明の実施の形態に係るゲートウェイ装置では、管理ツールが外部装置として外部装置用ポート54に接続される構成であるとしたが、これに限定するものではない。外部装置用ポート54には、スマートホンおよびナビゲーション装置等が外部装置として接続される構成であってもよい。
【0131】
また、本発明の実施の形態に係るゲートウェイ装置は、運用領域51およびセキュア領域52の両方において車両状態判定部を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、運用領域51およびセキュア領域52のいずれか一方において車両状態判定部を備える構成であってもよい。しかしながら、たとえば、運用領域51がハッキングされて認証情報が盗まれた場合においても、セキュア領域52における車両状態判定部32によって車両1の走行中における運用領域51からの不正アクセスを拒絶することができるので、運用領域51およびセキュア領域52の両方において車両状態判定部を備える構成が好ましい。
【0132】
また、本発明の実施の形態に係るゲートウェイ装置は、認証部23を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、認証部23を備えない構成であってもよい。
【0133】
また、本発明の実施の形態に係るゲートウェイ装置では、駐車状態を所定の停車状態とする構成であるとしたが、これに限定するものではない。たとえば、シフトレンジがドライブの位置にあり、かつサイドブレーキまたはフットブレーキが作動しているときのような車両1が一時停止している状態を所定の停車状態とする構成であってもよい。
【0134】
また、本発明の実施の形態に係るゲートウェイ装置では、車両状態判定部22,32は、所定条件C1〜C4を用いて、自己の車両1が駐車状態であるか否かを判定する構成であるとしたが、これに限定するものではない。車両状態判定部22,32は、他の条件を用いて、自己の車両1が駐車状態であるか否かを判定する構成であってもよい。
【0135】
また、本発明の実施の形態に係るゲートウェイ装置では、車両状態判定部22,32は、所定条件C1〜C4のうちの少なくともいずれか1つが満たされた場合、自己の車両1が所定の停車状態であると判定する構成であるとしたが、これに限定するものではない。車両状態判定部22,32は、他の条件が満たされた場合に、自己の車両1が所定の停車状態であると判定する構成であってもよい。
【0136】
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両1が動き出した場合、または管理プログラムの使用を終了した場合に、管理プログラムを破棄する構成であるとしたが、これに限定するものではない。処理部21は、上記の場合に限らず、たとえば、管理プログラムの使用開始タイミングから所定時間経過後に当該管理プログラムを削除する構成であってもよい。
【0137】
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両1が所定の停車状態でない場合に、拒絶情報を管理ツールへ送信する構成であるとしたが、これに限定するものではない。処理部21は、上記の場合においても、拒絶情報を管理ツールへ送信しない構成であってもよい。
【0138】
ところで、特許文献1に記載の車載ネットワークシステムでは、自車両が走行状態にある場合に車両外部機器との通信を遮断することで、車両外部機器による不正アクセスを防止する。しかしながら、中継装置では、中継機能よりも管理機能にセキュリティ上の脆弱性を抱えることが多い。具体的には、たとえば、中継を許可するパケットの種類が不正に書き換えられると、不正なパケットも中継されて車両内部機器に送信されるため、車両内部機器が車両の外部から攻撃に対して無防備になってしまう。
【0139】
これに対して、本発明の実施の形態に係るゲートウェイ装置は、車両1に搭載される。車両状態判定部22,32は、車両1が所定の停車状態であるか否かを判定する。セキュア領域52は、処理部21が所定の情報を出力した場合に処理部21からアクセス可能である。セキュア領域52には、外部装置がゲートウェイ装置101を制御するための制御用情報が保存されている。そして、処理部21は、車両状態判定部22,32が肯定的な判定を行った場合、セキュア領域52にアクセスし、制御用情報をセキュア領域52から取得する取得処理を行う。
【0140】
このように、車両1が所定の停車状態にある場合に、不正アクセスの困難なセキュア領域52から制御用情報を取得する構成により、制御用情報を使用すべきでない車両1の走行時において制御用情報の使用をより確実に制限することができるので、たとえば、車両1の走行時に制御用情報が悪用され、中継を許可するパケットの種類が不正に書き換えられる可能性を低減することができる。これにより、走行時にゲートウェイ装置101が乗っ取られて遠隔操作される事態を回避することができる。したがって、車載ネットワークにおいて、良好な通信を提供することができる。
【0141】
また、本発明の実施の形態に係るゲートウェイ装置では、認証部23は、外部装置に対する認証処理を行う。そして、処理部21は、車両状態判定部22,32が肯定的な判定を行い、かつ認証処理が成功した場合に取得処理を行う。
【0142】
たとえば、外部装置が不正な装置である場合、外部装置に対する認証処理が失敗する可能性が高い。上記の構成により、不正な外部装置が制御用情報を悪用する可能性をより低減することができる。
【0143】
また、本発明の実施の形態に係るゲートウェイ装置では、セキュア領域52に車両状態判定部32が含まれる。
【0144】
このように、容易にアクセスすることが困難なセキュア領域52に車両状態判定部32が含まれる構成により、車両状態判定部32をハッキングから守ることができるので、たとえば、車両状態判定部32を不正に操作することで車両状態判定部32に肯定的な判定を行わせ、制御用情報を不正に取得することを防ぐことができる。
【0145】
また、本発明の実施の形態に係るゲートウェイ装置では、セキュア領域52の内部に車両状態判定部32が含まれ、かつセキュア領域52の外部たとえば運用領域51に車両状態判定部22が含まれる。そして、処理部21は、車両状態判定部32および車両状態判定部22の両方が肯定的な判定を行った場合、セキュア領域52にアクセスし、取得処理を行う。
【0146】
このような構成により、たとえば、車両状態判定部32および車両状態判定部22のいずれか一方が不正に操作されて肯定的な判定を強制されても、不正な操作から逃れた判定部が正しい判定を行うことができるので、制御用情報を不正に取得することをより確実に防ぐことができる。
【0147】
また、本発明の実施の形態に係るゲートウェイ装置では、所定の停車状態は、駐車状態である。
【0148】
このように、所定の停車状態を駐車状態とする構成により、たとえば、制御用情報が悪用され、ゲートウェイ装置101が乗っ取られて遠隔操作されても、車両1が駐車状態であるので車両1の暴走を防ぐことができる。
【0149】
また、本発明の実施の形態に係るゲートウェイ装置では、所定の停車状態は、シフトレンジがパーキングの位置にある状態、シフトレンジがニュートラルの位置にあり、かつサイドブレーキもしくはフットブレーキが作動している状態、またはシフトレンジがニュートラルの位置にあり、かつ車速がゼロの状態である。
【0150】
このように、所定の停車状態を、たとえば、CAN情報等の車両において伝送される情報を用いて定める構成により、制御用情報の使用を許可してもよい状態であるか否かを容易に判定することができる。
【0151】
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両1が動き出した場合、または制御用情報の使用を終了した場合に、制御用情報を破棄する。
【0152】
このように、制御用情報を使用すべきでない場合、または制御用情報を使用しない場合に、制御用情報を破棄する構成により、制御用情報が悪用される機会を低減することができる。
【0153】
また、本発明の実施の形態に係るゲートウェイ装置では、処理部21は、車両状態判定部22,32が否定的な判定を行った場合、制御用情報により実現される機能の、外部装置からの起動要請を拒否する旨の応答を行う。
【0154】
このような構成により、車両1において制御用情報の使用が制限されていることを、制御用情報の使用を要請した外部装置に通知することができる。
【0155】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0156】
以上の説明は、以下に付記する特徴を含む。
【0157】
[付記1]
車両に搭載される車載装置であって、
処理部と、
前記車両が所定の停車状態であるか否かを判定する判定部と、
前記処理部が所定の情報を出力した場合に前記処理部からアクセス可能なセキュア領域とを備え、
前記セキュア領域には、外部装置が前記車載装置を制御するための制御用情報が保存されており、
前記処理部は、前記判定部が肯定的な判定を行った場合、前記セキュア領域にアクセスし、前記制御用情報を前記セキュア領域から取得する取得処理を行い、
前記車載装置は、ゲートウェイ装置であり、
前記車載装置は、さらに、
CAN(Controller Area Network)の通信規格に従うデータ、およびイーサネットの通信規格に従うデータを中継する中継部を備え、
前記セキュア領域は、耐タンパー性を有し、
前記制御用情報は、コマンド操作するためのコンソールを前記外部装置に提供するための管理機能、前記車載装置および前記外部装置間の通信を行うための管理機能、または前記中継部におけるフィルタ設定を行うための管理機能を前記処理部に実現させるための管理プログラムである、車載装置。
【符号の説明】
【0158】
1 車両
10 イーサネットケーブル
11 CANバス
21 処理部
22 車両状態判定部
23 認証部
31 セキュア制御部
32 車両状態判定部
33 セキュア記憶部
51 運用領域
52 セキュア領域
53 中継部
54 外部装置用ポート
101 ゲートウェイ装置(車載装置)
111,161 機能部
301 車載通信システム
図1
図2
図3
図4
図5
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.