▶ ガードノックス・サイバー・テクノロジーズ・リミテッドの特許一覧
特開2023-130454サービス指向アーキテクチャに基づく集中化サービスECUおよびその使用方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023130454
(43)【公開日】2023-09-20
(54)【発明の名称】サービス指向アーキテクチャに基づく集中化サービスECUおよびその使用方法
(51)【国際特許分類】
G06F 9/50 20060101AFI20230912BHJP
G06F 21/55 20130101ALI20230912BHJP
G06F 9/44 20180101ALI20230912BHJP
G06F 9/455 20180101ALN20230912BHJP
【FI】
G06F9/50 120Z
G06F21/55
G06F9/44
G06F9/455 150
【審査請求】有
【請求項の数】30
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023112241
(22)【出願日】2023-07-07
(62)【分割の表示】P 2019536499の分割
【原出願日】2018-01-05
(31)【優先権主張番号】62/442,745
(32)【優先日】2017-01-05
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】518363381
【氏名又は名称】ガードノックス・サイバー・テクノロジーズ・リミテッド
【氏名又は名称原語表記】GuardKnox Cyber Technologies Ltd.
(74)【代理人】
【識別番号】100101454
【弁理士】
【氏名又は名称】山田 卓二
(74)【代理人】
【識別番号】100135703
【弁理士】
【氏名又は名称】岡部 英隆
(74)【代理人】
【識別番号】100189544
【弁理士】
【氏名又は名称】柏原 啓伸
(72)【発明者】
【氏名】ディオニス・テシュラー
(72)【発明者】
【氏名】モーシェ・シュリセル
(72)【発明者】
【氏名】イダン・ナダブ
(57)【要約】 (修正有)
【課題】少なくとも以下のコンポーネント、即ち、サービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を含むシステムを提供する。
【解決手段】SOA ECUは少なくとも一つのSOAサーバを含み、SOA ECUが車両内にあり、少なくとも1つのSOAサーバは、車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供し、少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てる。
【選択図】なし
【解決手段】SOA ECUは少なくとも一つのSOAサーバを含み、SOA ECUが車両内にあり、少なくとも1つのSOAサーバは、車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供し、少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てる。
【選択図】なし
【特許請求の範囲】
【請求項1】
サービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を含むシステムであって、前記SOA ECUが、
少なくとも1つのSOAサーバを含み、
前記SOA ECUが車両内にあり、
前記少なくとも1つのSOAサーバが、前記車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、
前記少なくとも1つのSOAサーバが、前記少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される、
システム。
少なくとも1つのSOAサーバを含み、
前記SOA ECUが車両内にあり、
前記少なくとも1つのSOAサーバが、前記車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、
前記少なくとも1つのSOAサーバが、前記少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される、
システム。
【請求項2】
前記SOA ECUがさらに、
少なくとも1つの第1の区画を含み、前記少なくとも1つの第1の区画が、
少なくとも1つの第1のSOAサーバを含み、
前記少なくとも1つの第1のSOAサーバが、少なくとも1つの第1のサービスを少なくとも1つの第1のクライアントECUに提供するように構成され、
前記少なくとも1つの第1のSOAサーバが、前記少なくとも1つの第1のサービスを提供するために、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを割り当てるように構成され、
前記SOA ECUがさらに、少なくとも1つの第2の区画を含み、前記少なくとも1つの第2の区画が、
少なくとも1つの第2のSOAサーバを含み、
前記少なくとも1つの第2のSOAサーバが、少なくとも1つの第2のサービスを少なくとも1つの第2のクライアントECUに提供するように構成され、
前記少なくとも1つの第2のSOAサーバが、前記少なくとも1つの第2のサービスを提供するために、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを割り当てるように構成され、
前記少なくとも1つの第1の区画および前記少なくとも1つの第2の区画が、分離カーネルを介して互いに動作上分離される、請求項1に記載のシステム。
少なくとも1つの第1の区画を含み、前記少なくとも1つの第1の区画が、
少なくとも1つの第1のSOAサーバを含み、
前記少なくとも1つの第1のSOAサーバが、少なくとも1つの第1のサービスを少なくとも1つの第1のクライアントECUに提供するように構成され、
前記少なくとも1つの第1のSOAサーバが、前記少なくとも1つの第1のサービスを提供するために、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを割り当てるように構成され、
前記SOA ECUがさらに、少なくとも1つの第2の区画を含み、前記少なくとも1つの第2の区画が、
少なくとも1つの第2のSOAサーバを含み、
前記少なくとも1つの第2のSOAサーバが、少なくとも1つの第2のサービスを少なくとも1つの第2のクライアントECUに提供するように構成され、
前記少なくとも1つの第2のSOAサーバが、前記少なくとも1つの第2のサービスを提供するために、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを割り当てるように構成され、
前記少なくとも1つの第1の区画および前記少なくとも1つの第2の区画が、分離カーネルを介して互いに動作上分離される、請求項1に記載のシステム。
【請求項3】
前記少なくとも1つの第1の区画が、前記少なくとも1つの第1の専用処理リソースおよび前記少なくとも1つの第1の専用メモリリソースを用いて少なくとも1つの第1のオペレーティングシステム(OS)を実行するように構成され、
前記少なくとも1つの第2の区画が、前記少なくとも1つの第2の専用処理リソースおよび前記少なくとも1つの第2の専用メモリリソースを用いて少なくとも1つの第2のOSを実行するように構成される、
請求項2に記載のシステム。
前記少なくとも1つの第2の区画が、前記少なくとも1つの第2の専用処理リソースおよび前記少なくとも1つの第2の専用メモリリソースを用いて少なくとも1つの第2のOSを実行するように構成される、
請求項2に記載のシステム。
【請求項4】
前記少なくとも1つの第1の専用処理リソースおよび前記少なくとも1つの第2の専用処理リソースが、少なくとも1つの専用ハードウェアモジュールの一部であり、
前記分離カーネルが、前記少なくとも1つの第1の専用処理リソースおよび前記少なくとも1つの第2の専用処理リソースに、前記少なくとも1つの第1のサービスまたは前記少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供し、
前記少なくとも1つの第1の専用メモリリソースおよび前記少なくとも1つの第2の専用メモリリソースが、前記少なくとも1つの専用ハードウェアモジュールの一部であり、
前記分離カーネルが、前記少なくとも1つの第1の専用メモリリソースおよび前記少なくとも1つの第2の専用メモリリソースに、前記少なくとも1つの第1のサービスまたは前記少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供するように構成される、
請求項3に記載のシステム。
前記分離カーネルが、前記少なくとも1つの第1の専用処理リソースおよび前記少なくとも1つの第2の専用処理リソースに、前記少なくとも1つの第1のサービスまたは前記少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供し、
前記少なくとも1つの第1の専用メモリリソースおよび前記少なくとも1つの第2の専用メモリリソースが、前記少なくとも1つの専用ハードウェアモジュールの一部であり、
前記分離カーネルが、前記少なくとも1つの第1の専用メモリリソースおよび前記少なくとも1つの第2の専用メモリリソースに、前記少なくとも1つの第1のサービスまたは前記少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供するように構成される、
請求項3に記載のシステム。
【請求項5】
前記少なくとも1つの第1のSOAサーバが安全性重視のサーバであり、前記少なくとも1つの第2のSOAサーバが安全性重視でないサーバである、請求項2に記載のシステム。
【請求項6】
前記少なくとも1つの第1のクライアントECUが少なくとも1つの第1のネットワークに関連付けられ、前記少なくとも1つの第2のクライアントECUが少なくとも1つの第2のネットワークに関連付けられ、前記少なくとも1つの第1のネットワークと前記少なくとも1つの第2のネットワークとが異なるネットワークである、請求項2に記載のシステム。
【請求項7】
前記分離カーネルが、少なくとも1つの障害のある区画が少なくとも1つの障害のない区画に悪影響を及ぼすのを防止または妨げるように構成される、請求項2に記載のシステム。
【請求項8】
前記少なくとも1つの障害のある区画が、サイバー攻撃を受けやすい区画である、請求項7に記載のシステム。
【請求項9】
前記少なくとも1つのSOAサーバが、前記少なくとも1つのクライアントECUに関連付けられたサービス品質(QoS)レベルに少なくとも部分的に基づいて前記少なくとも1つのサービスを提供するように構成される、請求項1に記載のシステム。
【請求項10】
前記少なくとも1つのサービスが、
i)遠隔管理サービス、
ii)遠隔監視サービス、
iii)地上波(OTA)更新サービス、
iv)対称暗号化サービス、
v)非対称暗号化サービス、
vi)証明書管理サービス、
vii)中央ファイアウォールサービス、
viii)セキュアストレージサービス、
ix)ロックダウンサービス、
x)侵入検知サービス、
xi)侵入防止サービス、
xii)セキュア処理サービス、
xiii)認証局(CA)サービス、
xiv)通信セキュリティサービス、
xv)認証サービス、
xvi)アイデンティティ管理サービス、
xvii)鍵管理サービス、
xviii)更新配布サービス、
xix)ソフトウェア回復サービス、
xx)ソフトウェアフラッシュサービス、および
xvii)それらの任意の組み合わせからなる群から選択される、請求項1に記載のシステム。
i)遠隔管理サービス、
ii)遠隔監視サービス、
iii)地上波(OTA)更新サービス、
iv)対称暗号化サービス、
v)非対称暗号化サービス、
vi)証明書管理サービス、
vii)中央ファイアウォールサービス、
viii)セキュアストレージサービス、
ix)ロックダウンサービス、
x)侵入検知サービス、
xi)侵入防止サービス、
xii)セキュア処理サービス、
xiii)認証局(CA)サービス、
xiv)通信セキュリティサービス、
xv)認証サービス、
xvi)アイデンティティ管理サービス、
xvii)鍵管理サービス、
xviii)更新配布サービス、
xix)ソフトウェア回復サービス、
xx)ソフトウェアフラッシュサービス、および
xvii)それらの任意の組み合わせからなる群から選択される、請求項1に記載のシステム。
【請求項11】
前記SOA ECUが、
i)車両関連データ、および
ii)前記車両の少なくとも1人のユーザに関するユーザ関連データ、のうちの少なくとも1つを収集するように構成された少なくとも1つのモジュールをさらに含む、
請求項1に記載のシステム。
i)車両関連データ、および
ii)前記車両の少なくとも1人のユーザに関するユーザ関連データ、のうちの少なくとも1つを収集するように構成された少なくとも1つのモジュールをさらに含む、
請求項1に記載のシステム。
【請求項12】
前記少なくとも1つのモジュールがさらに、前記車両関連データ、前記ユーザ関連データ、またはその両方を、第三者に関連付けられた少なくとも1つの電子遠隔目的地に送信させるように構成され、前記少なくとも1つの電子遠隔目的地が、前記車両の外部にある、請求項11に記載のシステム。
【請求項13】
前記SOA ECUがさらに、
i)少なくとも1つのリアルタイムの第1の承認されたソフトウェア変更を前記SOA ECUに導入すること、
ii)少なくとも1つのリアルタイムの第2の承認された変更を前記少なくとも1つのSOAサーバに導入すること、および
iii)少なくとも1つのリアルタイムの第3の承認された変更を前記少なくとも1つのサービスに導入すること、のうちの少なくとも1つを可能にするように構成される、請求項1に記載のシステム。
i)少なくとも1つのリアルタイムの第1の承認されたソフトウェア変更を前記SOA ECUに導入すること、
ii)少なくとも1つのリアルタイムの第2の承認された変更を前記少なくとも1つのSOAサーバに導入すること、および
iii)少なくとも1つのリアルタイムの第3の承認された変更を前記少なくとも1つのサービスに導入すること、のうちの少なくとも1つを可能にするように構成される、請求項1に記載のシステム。
【請求項14】
前記少なくとも1つのリアルタイムの第2の承認された変更が、
1)少なくとも1つの新しいサービスを前記少なくとも1つのSOAサーバにリアルタイムで追加すること、
2)前記少なくとも1つのサービスを前記少なくとも1つの新しいサービスにリアルタイムで置き換えること、
3)前記少なくとも1つのSOAサーバから前記少なくとも1つのサービスをリアルタイムで削除すること、および
4)前記少なくとも1つのSOAサーバの設定をリアルタイムで変更すること、のうちの少なくとも1つである、請求項13に記載のシステム。
1)少なくとも1つの新しいサービスを前記少なくとも1つのSOAサーバにリアルタイムで追加すること、
2)前記少なくとも1つのサービスを前記少なくとも1つの新しいサービスにリアルタイムで置き換えること、
3)前記少なくとも1つのSOAサーバから前記少なくとも1つのサービスをリアルタイムで削除すること、および
4)前記少なくとも1つのSOAサーバの設定をリアルタイムで変更すること、のうちの少なくとも1つである、請求項13に記載のシステム。
【請求項15】
前記少なくとも1つの第1のリアルタイムの第1の承認された変更、前記少なくとも1つのリアルタイムの第2の承認された変更、および前記少なくとも1つの第3のリアルタイムの第1の承認された変更が、前記車両の外部の少なくとも1つの外部ソースから導入される、請求項14に記載のシステム。
【請求項16】
前記少なくとも1つのリアルタイムの第1の承認された変更、前記少なくとも1つのリアルタイムの第2の承認された変更、および前記少なくとも1つのリアルタイムの第3の承認された変更のうちの少なくとも1つが、
i)前記車両の少なくとも1つの車両固有の特性、
ii)ユーザの少なくとも1つの前記ユーザ固有の特性、
iii)少なくとも1つのユーザ要求、
iv)少なくとも1つのサービスプロバイダ要求、および
v)少なくとも1つのメーカ要求、のうちの少なくとも1つに基づく、請求項13に記載のシステム。
i)前記車両の少なくとも1つの車両固有の特性、
ii)ユーザの少なくとも1つの前記ユーザ固有の特性、
iii)少なくとも1つのユーザ要求、
iv)少なくとも1つのサービスプロバイダ要求、および
v)少なくとも1つのメーカ要求、のうちの少なくとも1つに基づく、請求項13に記載のシステム。
【請求項17】
前記少なくとも1つのサービスが、前記車両の組み立て中に前記少なくとも1つのSOAサーバに追加され、前記少なくとも1つのサービスが、前記車両の耐用期間中の特定の期間、遠隔で作動されるように構成される、請求項1に記載のシステム。
【請求項18】
前記少なくとも1つのサービスが、複数の別個のクライアントECUに利用可能な専用アプリケーションプログラムインタフェース(API)要求を介して呼び出されるように構成される、請求項1に記載のシステム。
【請求項19】
前記少なくとも1つのSOAサーバが、少なくとも1つのセキュリティポリシーに従って、複数のサービスを複数の別個のクライアントECUに提供するように構成される、請求項1に記載のシステム。
【請求項20】
前記少なくとも1つのセキュリティポリシーが、
i)特定のクライアントECUへのアクセス、
ii)前記特定のクライアントECUによって利用される少なくとも1つの特定のサービスの利用可能性、
iii)少なくとも1つのQoS要件、および
iv)前記SOA ECUの特定のハードウェアモジュールへのアクセス、のうちの少なくとも1つを制御する少なくとも1つの規則を含む、請求項19に記載のシステム。
i)特定のクライアントECUへのアクセス、
ii)前記特定のクライアントECUによって利用される少なくとも1つの特定のサービスの利用可能性、
iii)少なくとも1つのQoS要件、および
iv)前記SOA ECUの特定のハードウェアモジュールへのアクセス、のうちの少なくとも1つを制御する少なくとも1つの規則を含む、請求項19に記載のシステム。
【請求項21】
前記少なくとも1つのモジュールが、前記車両関連データ、前記ユーザ関連データ、またはその両方を送信させる前に、前記車両関連データ、前記ユーザ関連データ、またはその両方を用いて少なくとも1つの動作を実行するようにさらに構成される、請求項12に記載のシステム。
【請求項22】
サービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を供給するステップを含む方法であって、前記SOA ECUが、
少なくとも1つのSOAサーバを含み、
前記SOA ECUが車両内にあり、
前記少なくとも1つのSOAサーバが、前記車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、
前記少なくとも1つのSOAサーバが、前記少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される、
方法。
少なくとも1つのSOAサーバを含み、
前記SOA ECUが車両内にあり、
前記少なくとも1つのSOAサーバが、前記車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、
前記少なくとも1つのSOAサーバが、前記少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される、
方法。
【請求項23】
前記SOA ECUがさらに、
少なくとも1つの第1の区画を含み、前記少なくとも1つの第1の区画が、
少なくとも1つの第1のSOAサーバを含み、
前記少なくとも1つの第1のSOAサーバが、少なくとも1つの第1のサービスを少なくとも1つの第1のクライアントECUに提供するように構成され、
前記少なくとも1つの第1のSOAサーバが、前記少なくとも1つの第1のサービスを提供するために、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを割り当てるように構成され、
前記SOA ECUがさらに、少なくとも1つの第2の区画を含み、前記少なくとも1つの第2の区画が、
少なくとも1つの第2のSOAサーバを含み、
前記少なくとも1つの第2のSOAサーバが、少なくとも1つの第2のサービスを少なくとも1つの第2のクライアントECUに提供するように構成され、
前記少なくとも1つの第2のSOAサーバが、前記少なくとも1つの第2のサービスを提供するために、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを割り当てるように構成され、
前記少なくとも1つの第1の区画および前記少なくとも1つの第2の区画が、分離カーネルを介して互いに動作上分離され、
前記少なくとも1つの第1の区画が、少なくとも1つの第1のオペレーティングシステム(OS)を実行するように構成され、
前記少なくとも1つの第1の区画の前記少なくとも1つの第1のOSが、前記少なくとも1つの第2の区画から独立して動作する、請求項22に記載の方法。
少なくとも1つの第1の区画を含み、前記少なくとも1つの第1の区画が、
少なくとも1つの第1のSOAサーバを含み、
前記少なくとも1つの第1のSOAサーバが、少なくとも1つの第1のサービスを少なくとも1つの第1のクライアントECUに提供するように構成され、
前記少なくとも1つの第1のSOAサーバが、前記少なくとも1つの第1のサービスを提供するために、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを割り当てるように構成され、
前記SOA ECUがさらに、少なくとも1つの第2の区画を含み、前記少なくとも1つの第2の区画が、
少なくとも1つの第2のSOAサーバを含み、
前記少なくとも1つの第2のSOAサーバが、少なくとも1つの第2のサービスを少なくとも1つの第2のクライアントECUに提供するように構成され、
前記少なくとも1つの第2のSOAサーバが、前記少なくとも1つの第2のサービスを提供するために、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを割り当てるように構成され、
前記少なくとも1つの第1の区画および前記少なくとも1つの第2の区画が、分離カーネルを介して互いに動作上分離され、
前記少なくとも1つの第1の区画が、少なくとも1つの第1のオペレーティングシステム(OS)を実行するように構成され、
前記少なくとも1つの第1の区画の前記少なくとも1つの第1のOSが、前記少なくとも1つの第2の区画から独立して動作する、請求項22に記載の方法。
【請求項24】
前記少なくとも1つの第1のSOAサーバが安全性重視のサーバであり、前記少なくとも1つの第2のSOAサーバが安全性重視でないサーバであり、
前記少なくとも1つの第1のクライアントECUが少なくとも1つの第1のネットワークに関連付けられ、
前記少なくとも1つの第2のクライアントECUが少なくとも1つの第2のネットワークに関連付けられ、
前記少なくとも1つの第1のネットワークと前記少なくとも1つの第2のネットワークとが異なるネットワークである、請求項23に記載の方法。
前記少なくとも1つの第1のクライアントECUが少なくとも1つの第1のネットワークに関連付けられ、
前記少なくとも1つの第2のクライアントECUが少なくとも1つの第2のネットワークに関連付けられ、
前記少なくとも1つの第1のネットワークと前記少なくとも1つの第2のネットワークとが異なるネットワークである、請求項23に記載の方法。
【請求項25】
前記分離カーネルが、少なくとも1つの障害のある区画が少なくとも1つの障害のない区画に悪影響を及ぼすのを防止または妨げるように構成され、
前記少なくとも1つの障害のある区画が、サイバー攻撃を受けやすい区画である、
請求項23に記載の方法。
前記少なくとも1つの障害のある区画が、サイバー攻撃を受けやすい区画である、
請求項23に記載の方法。
【請求項26】
前記SOA ECUが、
i)車両関連データ、および
ii)前記車両の少なくとも1人のユーザに関するユーザ関連データ、
のうちの少なくとも1つを収集するように構成された少なくとも1つのモジュールをさらに含み、
前記少なくとも1つのモジュールがさらに、前記車両関連データ、前記ユーザ関連データ、またはその両方を、第三者に関連付けられた少なくとも1つの電子遠隔目的地に送信させるように構成され、前記少なくとも1つの電子遠隔目的地が、前記車両の外部にある、
請求項22に記載の方法。
i)車両関連データ、および
ii)前記車両の少なくとも1人のユーザに関するユーザ関連データ、
のうちの少なくとも1つを収集するように構成された少なくとも1つのモジュールをさらに含み、
前記少なくとも1つのモジュールがさらに、前記車両関連データ、前記ユーザ関連データ、またはその両方を、第三者に関連付けられた少なくとも1つの電子遠隔目的地に送信させるように構成され、前記少なくとも1つの電子遠隔目的地が、前記車両の外部にある、
請求項22に記載の方法。
【請求項27】
前記SOA ECUがさらに、
i)少なくとも1つのリアルタイムの第1の承認されたソフトウェア変更を前記SOA ECUに導入すること、
ii)少なくとも1つのリアルタイムの第2の承認された変更を前記少なくとも1つのSOAサーバに導入すること、および
iii)少なくとも1つのリアルタイムの第3の承認された変更を前記少なくとも1つのサービスに導入すること、のうちの少なくとも1つを可能にするように構成される、
請求項22に記載の方法。
i)少なくとも1つのリアルタイムの第1の承認されたソフトウェア変更を前記SOA ECUに導入すること、
ii)少なくとも1つのリアルタイムの第2の承認された変更を前記少なくとも1つのSOAサーバに導入すること、および
iii)少なくとも1つのリアルタイムの第3の承認された変更を前記少なくとも1つのサービスに導入すること、のうちの少なくとも1つを可能にするように構成される、
請求項22に記載の方法。
【請求項28】
前記少なくとも1つのサービスが、前記車両の組み立て中に前記少なくとも1つのSOAサーバに追加され、前記少なくとも1つのサービスが、前記車両の耐用期間中の特定の期間、遠隔で作動されるように構成される、請求項22に記載の方法。
【請求項29】
前記少なくとも1つのサービスが、複数の別個のクライアントECUに利用可能な専用アプリケーションプログラムインタフェース(API)要求を介して呼び出されるように構成される、請求項22に記載の方法。
【請求項30】
前記少なくとも1つのSOAサーバが、少なくとも1つのセキュリティポリシーに従って、複数のサービスを複数の別個のクライアントECUに提供するように構成され、
前記少なくとも1つのセキュリティポリシーが、
i)特定のクライアントECUへのアクセス、
ii)前記特定のクライアントECUによって利用される少なくとも1つの特定のサービスの利用可能性、
iii)少なくとも1つのQoS要件、および
iv)前記SOA ECUの特定のハードウェアモジュールへのアクセス、のうちの少なくとも1つを制御する少なくとも1つの規則を含む、
請求項22に記載の方法。
前記少なくとも1つのセキュリティポリシーが、
i)特定のクライアントECUへのアクセス、
ii)前記特定のクライアントECUによって利用される少なくとも1つの特定のサービスの利用可能性、
iii)少なくとも1つのQoS要件、および
iv)前記SOA ECUの特定のハードウェアモジュールへのアクセス、のうちの少なくとも1つを制御する少なくとも1つの規則を含む、
請求項22に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2017年1月5日に出願された米国仮特許出願第62/442,745号の優先権を主張するものであり、上記出願は、あらゆる目的のためにその全体が参照により本明細書に組み入れられる。
【0002】
一部の実施形態では、本発明は、一般に、サービス指向アーキテクチャおよびその使用方法に基づく集中型サービスecuを実装するように構成された関連装置を備える、特別にプログラムされたコンピューティングシステムに関する。
【背景技術】
【0003】
例えば、車両は、多数のコンピュータ、電子制御装置(ECU)を含み得る。通常、ECUは、ブルートゥース(登録商標)(TM)、3G、Wi-Fiなどの外部通信機能を含むことができる様々なネットワークを介して相互接続することができる。場合によっては、そのような例示的な外部通信機能を利用して、車両のECUおよび/または動作機能を追跡、制御、および/または更新することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】米国特許出願第15,486,055号明細書
【発明の概要】
【課題を解決するための手段】
【0005】
一部の実施形態では、本発明は、少なくとも以下の構成要素、すなわちサービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を含む例示的な本発明のシステムを提供し、SOA ECUは少なくとも1つの例示的な本発明のSOAサーバを含み、SOA ECUは車両内にあり、少なくとも1つのSOAサーバは、車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、少なくとも1つのSOAサーバは、少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される。
【0006】
一部の実施形態では、例示的なSOA ECUはさらに、少なくとも1つの第1のSOAサーバを含む少なくとも1つの第1の区画を含み、少なくとも1つの第1のSOAサーバは、少なくとも1つの第1のサービスを少なくとも1つの第1のクライアントECUに提供するように構成され、少なくとも1つの第1のSOAサーバは、少なくとも1つの第1のサービスを提供するために、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを割り当てるように構成され、例示的なSOA ECUはさらに、少なくとも1つの第2のSOAサーバを含む少なくとも1つの第2の区画を含み、少なくとも1つの第2のSOAサーバは、少なくとも1つの第2のサービスを少なくとも1つの第2のクライアントECUに提供するように構成され、少なくとも1つの第2のSOAサーバは、少なくとも1つの第2のサービスを提供するために、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを割り当てるように構成され、少なくとも1つの第1の区画および少なくとも1つの第2の区画は、分離カーネルを介して互いに動作上分離される。
【0007】
一部の実施形態では、少なくとも1つの第1の区画は、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを用いて少なくとも1つの第1のオペレーティングシステム(OS)を実行するように構成され、少なくとも1つの第2の区画は、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを用いて少なくとも1つの第2のOSを実行するように構成され、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第2の専用処理リソースは、少なくとも1つの専用ハードウェアモジュールの一部であり、分離カーネルは、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第2の専用処理リソースに、少なくとも1つの第1のサービスまたは少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供し、少なくとも1つの第1の専用メモリリソースおよび少なくとも1つの第2の専用メモリリソースは、少なくとも1つの専用ハードウェアモジュールの一部であり、分離カーネルは、少なくとも1つの第1の専用メモリリソースおよび少なくとも1つの第2の専用メモリリソースに、少なくとも1つの第1のサービスまたは少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供するように構成される。
【0008】
一部の実施形態では、少なくとも1つの第1のSOAサーバは安全性重視のサーバであり、少なくとも1つの第2のSOAサーバは安全性重視でないサーバである。
【0009】
一部の実施形態では、少なくとも1つの第1のクライアントECUは少なくとも1つの第1のネットワークに関連付けられ、少なくとも1つの第2のクライアントECUは少なくとも1つの第2のネットワークに関連付けられ、少なくとも1つの第1のネットワークと少なくとも1つの第2のネットワークとは異なるネットワークである。
【0010】
一部の実施形態では、分離カーネルは、少なくとも1つの障害のある区画が少なくとも1つの障害のない区画に悪影響を及ぼすのを防止または妨げるように構成される。
【0011】
一部の実施形態では、少なくとも1つの障害のある区画は、サイバー攻撃を受けやすい区画である。
【0012】
一部の実施形態では、少なくとも1つのSOAサーバは、少なくとも1つのクライアントECUに関連付けられたサービス品質(QoS)レベルに少なくとも部分的に基づいて少なくとも1つのサービスを提供するように構成される。
【0013】
一部の実施形態では、少なくとも1つのサービスは、i)遠隔管理サービス、ii)遠隔監視サービス、iii)地上波(OTA)更新サービス、iv)対称暗号化サービス、v)非対称暗号化サービス、vi)証明書管理サービス、vii)中央ファイアウォールサービス、viii)セキュアストレージサービス、ix)ロックダウンサービス、x)侵入検知サービス、xi)侵入防止サービス、xii)セキュア処理サービス、xiii)認証局(CA)サービス、xiv)通信セキュリティサービス、xv)認証サービス、xvi)アイデンティティ管理サービス、xvii)鍵管理サービス、xviii)更新配布サービス、xix)ソフトウェア回復サービス、xx)ソフトウェアフラッシュサービス、およびxvii)それらの任意の組み合わせからなる群から選択される。
【0014】
一部の実施形態では、SOA ECUは、i)車両関連データ、およびii)車両の少なくとも1人のユーザに関するユーザ関連データ、のうちの少なくとも1つを収集するように構成された少なくとも1つのモジュールをさらに含む。
【0015】
一部の実施形態では、少なくとも1つのモジュールはさらに、車両関連データ、ユーザ関連データ、またはその両方を、第三者に関連付けられた少なくとも1つの電子遠隔目的地に送信させるように構成され、少なくとも1つの電子遠隔目的地は、車両の外部にある。
【0016】
一部の実施形態では、SOA ECUはさらに、i)少なくとも1つのリアルタイムの第1の承認されたソフトウェア変更をSOA ECUに導入すること、ii)少なくとも1つのリアルタイムの第2の承認された変更を少なくとも1つのSOAサーバに導入すること、およびiii)少なくとも1つのリアルタイムの第3の承認された変更を少なくとも1つのサービスに導入すること、のうちの少なくとも1つを可能にするように構成される。
【0017】
一部の実施形態では、少なくとも1つのリアルタイムの第2の承認された変更は、1)少なくとも1つの新しいサービスを少なくとも1つのSOAサーバにリアルタイムで追加すること、2)少なくとも1つのサービスを少なくとも1つの新しいサービスにリアルタイムで置き換えること、3)少なくとも1つのSOAサーバから少なくとも1つのサービスをリアルタイムで削除すること、および4)少なくとも1つのSOAサーバの設定をリアルタイムで変更すること、のうちの少なくとも1つである。
【0018】
一部の実施形態では、少なくとも1つの第1のリアルタイムの第1の承認された変更、少なくとも1つのリアルタイムの第2の承認された変更、および少なくとも1つの第3のリアルタイムの第1の承認された変更は、車両の外部の少なくとも1つの外部ソースから導入される。
【0019】
一部の実施形態では、少なくとも1つのリアルタイムの第1の承認された変更、少なくとも1つのリアルタイムの第2の承認された変更、および少なくとも1つのリアルタイムの第3の承認された変更のうちの少なくとも1つは、i)車両の少なくとも1つの車両固有の特性、ii)ユーザの少なくとも1つのユーザ固有の特性、iii)少なくとも1つのユーザ要求、iv)少なくとも1つのサービスプロバイダ要求、およびv)少なくとも1つのメーカ要求、のうちの少なくとも1つに基づく。
【0020】
一部の実施形態では、少なくとも1つのサービスは、車両の組み立て中に少なくとも1つのSOAサーバに追加され、少なくとも1つのサービスは、車両の耐用期間中の特定の期間、遠隔で作動されるように構成される。
【0021】
一部の実施形態では、少なくとも1つのサービスは、複数の別個のクライアントECUに利用可能な専用アプリケーションプログラムインタフェース(API)要求を介して呼び出されるように構成される。
【0022】
一部の実施形態では、少なくとも1つのSOAサーバは、少なくとも1つのセキュリティポリシーに従って、複数のサービスを複数の別個のクライアントECUに提供するように構成される。
【0023】
一部の実施形態では、少なくとも1つのセキュリティポリシーは、i)特定のクライアントECUへのアクセス、ii)特定のクライアントECUによって利用される少なくとも1つの特定のサービスの利用可能性、iii)少なくとも1つのQoS要件、およびiv)SOA ECUの特定のハードウェアモジュールへのアクセス、のうちの少なくとも1つを制御する少なくとも1つの規則を含む。
【0024】
一部の実施形態では、少なくとも1つのモジュールは、車両関連データ、ユーザ関連データ、またはその両方を送信させる前に、車両関連データ、ユーザ関連データ、またはその両方を用いて少なくとも1つの動作を実行するようにさらに構成される。
【0025】
一部の実施形態では、本発明は、少なくとも以下のステップ、すなわちサービス指向アーキテクチャ(SOA ECU)を有する電子制御ユニットを提供するステップを含む例示的な本発明の方法を提供し、SOA ECUは少なくとも1つのSOAサーバを含み、SOA ECUは車両内にあり、少なくとも1つのSOAサーバは、車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、少なくとも1つのSOAサーバは、少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される。
【図面の簡単な説明】
【0026】
本発明は、添付の図面を参照してさらに説明することができ、いくつかの図を通して、類似の構造は類似の番号で参照される。示された図面は必ずしも縮尺通りではなく、代わりに本発明の原理を説明することに重点が置かれている。したがって、本明細書に開示された特定の構造上および機能上の詳細は、限定として解釈されるべきではなく、単に本発明を様々に使用することを当業者に教示するための代表的な基礎として解釈されるべきである。
【0027】
【発明を実施するための形態】
【0028】
開示されているこれらの利点および改良点の中で、本発明の他の目的および利点は、添付の図面と併せて以下の説明から明らかになるであろう。本発明の詳細な実施形態は本明細書に開示されているが、開示された実施形態は、様々な形態で具現化され得る本発明の単なる例示であることが理解されるべきである。さらに、本発明の様々な実施形態に関連して与えられる各実施例は例示的であり、限定的ではないことが意図されている。
【0029】
例えば、本明細書に詳述される様々な実施形態の例示的な例は、様々な種類の移動車両(例えば、自動車、トラック、クレーン、バスなど)のような自動車産業において実施されるように記載されているが、当業者には、他の多くの実装形態が明らかになり得、本発明の原理、方法、システム、および装置は、コンピューティング装置を利用する様々な他の環境でも同様に実施することができる。例えば、本発明の原理、方法、システム、および装置は、当業者には明らかになり得る任意の修正を伴って、または伴わずに、多くの産業、環境、およびコンピューティング装置、例えば、これに限定されないが、航空、産業制御、コンピュータ、医療機器、金融端末、公益事業管理、ホームセキュリティ、重要インフラストラクチャコンピューティングシステム(例えば、交通信号機、送電網など)、および他の同様に適切な用途などにおいて実装することができる。
【0030】
本明細書を通して、文脈が明らかにそうでないと指示しない限り、以下の用語は本明細書に明示的に関連する意味をとる。本明細書で使用される「一実施形態では」および「一部の実施形態では」という句は、必ずしも同じ実施形態を指すわけではないが、そうであってもよい。さらに、本明細書で使用される「別の実施形態では」および「一部の別の実施形態では」という句は、必ずしも異なる実施形態を指すわけではないが、そうであってもよい。したがって、以下に記載されるように、本発明の範囲または精神から逸脱することなく、本発明の様々な実施形態を容易に組み合わせることができる。
【0031】
「に基づく」という用語は排他的なものではなく、文脈が明らかにそうでないと指示しない限り、記載されていない追加の要因に基づくことを可能にする。さらに、本明細書を通して、「a」、「an」、および「the」の意味は複数への言及を含む。「内」の意味は、「内」および「上」を含む。
【0032】
本明細書に記載の様々な実施形態の少なくとも1つの態様/機能は、リアルタイムでおよび/または動的に実行できることを理解されたい。本明細書で使用される場合、用語「リアルタイム」は、別のイベント/動作が発生したときに瞬間的にまたはほぼ瞬間的に発生し得るイベント/動作を対象とする。一部の実施形態では、「瞬間的」、「瞬間的に」、「直ちに」、および「リアルタイム」という用語は、電子要求が送信される第1の時間と要求への電子応答が受信される第2の時間との間の時間差が、1秒以下である状態を指す。一部の実施形態では、要求と応答との間の時間差は、1秒未満から数秒の間(例えば、5~10秒)である。
【0033】
本明細書で使用される場合、用語「動的(に)」は、イベントおよび/または動作が人間の介入なしにトリガされ得るおよび/または発生し得ることを意味する。一部の実施形態では、本発明によるイベントおよび/または動作は、リアルタイムであってもよく、および/またはナノ秒、数ナノ秒、ミリ秒、数ミリ秒、秒、数秒、分、数分、毎時、数時間、毎日、数日、毎週、毎月などのうちの少なくとも1つの所定の周期に基づいてもよい。
【0034】
本明細書で使用される場合、用語「通信」および「メッセージ」は交換可能に使用することができ、通信は単一のメッセージまたは複数のメッセージに対応し得ると仮定されるべきである。
【0035】
本明細書で使用される場合、用語「ランタイム」は、ソフトウェアアプリケーションまたはソフトウェアアプリケーションの少なくとも一部の実行中に動的に決定される任意の動作に対応する。
【0036】
一部の実施形態では、関連装置を有する本発明の特別にプログラムされたコンピューティングシステムは、適切なデータ通信ネットワーク(例えばインターネットなど)を介して通信し、かつ少なくとも1つの適切なデータ通信プロトコル(例えば、IPX/SPX、X.25、AX.25、アップルトーク(TM)、TCP/IP(例えば、HTTP)など)を利用する分散型ネットワーク環境で動作するように構成される。一部の実施形態では、関連装置を有する本発明の特別にプログラムされたコンピューティングシステムは、少なくとも10個の他の電子/コンピューティング装置(例えば、これに限定されないが、10~99個)、少なくとも100個の他の電子/コンピューティング装置(例えば、これに限定されないが、100~999個)、少なくとも1,000(例えば、これに限定されないが、1,000~9,999)個、少なくとも10,000個の他の電子/コンピューティング装置(例えば、これに限定されないが、10,000~99,999個)、少なくとも100,000個の他の電子/コンピューティング装置(例えば、これに限定されないが、100,000~999,999個)、少なくとも1,000,000個の他の電子/コンピューティング装置(例えば、これに限定されないが、1,000,000~9,999,999個)、少なくとも10,000,000個の他の電子/コンピューティング装置(例えば、これに限定されないが、10,000,000~99,999,999個)、少なくとも100,000,000個の他の電子/コンピューティング装置(例えば、これに限定されないが、100,000,000~999,999,999個)、少なくとも1,000,000,000個の他の電子/コンピューティング装置(例えば、これに限定されないが、1,000,000,000~10,000,000,000個)に関連する対話を処理/追跡/管理するように構成される。
【0037】
本明細書で使用される場合、用語「セキュリティ」は、サイバーセキュリティを指す。
【0038】
本明細書で使用される場合、用語「安全」は、機能的観点から見たシステムの安全な動作を指す。
【0039】
一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の装置は、様々な車両機能(エンジン管理、操舵、ペダル、電動窓など)に関与する多数(例えば、最大150)の電子制御ユニット(ECU)と通信するように構成される。一般的なECUは、その機能を実装し、かつECUを車両内の他のシステムと接続するために必要な独自のプロセッサ、メモリ、および周辺機器を含むコンピュータモジュールである。一般的なECUには、設計目的である機能を実行するファームウェアおよびソフトウェアが含まれている。
【0040】
一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の装置は、安全性を高めるための先進の車-車間(V2V)通信、遠隔測定を高めるための車両対インフラストラクチャ(V2I)通信、道路および地方自治体のインフラストラクチャ(例えば信号機)との通信、電気自動車を充電するための地方および全国の電力網との通信、インターネットアクセスおよび電子財布機能を有するインフォテインメント、およびその他などの車の多数のサービス/機能の動作を集中化することができる。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の装置は、遠隔管理、無線(OTA)更新機能、更新配布、ECUソフトウェアのフラッシュ、ECUソフトウェアの回復、監視、暗号化、認証、デジタル証明書および鍵管理、セキュアストレージ、セキュアデータ処理、安全でセキュアな新機能の車両内テスト、セキュリティ監視などの車両の機能を実行するために必要な共通サービスを集中化し提供することを可能にする。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の装置は、車両の全体コストの削減、統合および検証労力の削減を可能にするが、これはセキュリティ状態に影響を及ぼすことがあり、より多くのECUがセキュリティ機能を有するにつれ、それらのいくつかがそのような機能を誤って実装する機会が多くなる(例えば、ソフトウェアのバグ、不正確に実装されたプロトコル、セキュアでない実装)。例示的な車両について、一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の装置は、外部通信および/または高度なコンピューティング能力の量を減らすことを可能にし、例えば、車両ごとのコストの低減、重量の低減、および燃費の向上の達成につながる。
【0041】
一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の装置は、サービス指向アーキテクチャ(SOA)を利用して、サービスと呼ばれる個別のスタンドアロン構成要素として構成される共通機能およびインタフェースを提供する。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的な本発明の装置は、クライアントがシステムの方針に従ってそれらのサービスを利用することを承認される限り、例示的な車両のハードウェア/ソフトウェアの任意のクライアントに車両のネットワーク全体で共通サービスを提供することを可能にする。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置は、それらを設計/実装するベンダおよびそれらを使用するクライアントから独立して共通サービスを構成および利用することを可能にする。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置は、標準化プロトコルおよび/またはアプリケーションプログラムインタフェース(API)を介して共通サービスを提供するように設計される。
【0042】
一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置は、セッションベースタイプ(例えば、HTTPセッション、TCPセッションなど)であってもなくてもよい通信を介して、独自の特定機能を実行するECUに共通のサービスを提供することを可能にする。一部の実施形態では、通信はステートフルまたはステートレスであり得る。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置は、典型的にはサービス指向の環境で動作するようには設計されていない複数のネットワークプロトコルを介して通信するように典型的に設計されている自動車のECUに共通のサービスを提供することを可能にする。
【0043】
通常、各車両のECUは、様々なティア1サプライヤによって設計および製造されている。通常、自動車業界のティア1プロバイダは、それぞれのECUの閉鎖環境内でのみ機能している。通常、他のECUとの統合には高い実装リスクがある(構成要素は通常、独自の方法で独自のアーキテクチャで動作するように設計され、他のECUと統合することは通常、設計目標ではない)。通常、個別化された開発は、他のECUの要件を考慮する必要性を踏まえると、スケーラビリティの難しさが増す可能性がある。典型的な設計方法論の下では、サービス指向アーキテクチャは、例えば自動車産業においては、技術的および経済的に実現可能な実装ではない。
【0044】
一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置(例示的な集中型ECU)は、サービス指向アーキテクチャの埋め込み実装に基づいている。一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置(例示的な集中型ECU)は、様々な適切な輸送機関(例えば自動車、鉄道、船舶、航空)および他の同様の適切な埋め込みシステム(例えば産業制御、医療、重要インフラなど)に採用することができる。
【0045】
一部の実施形態では、例示的な本発明のコンピュータシステムおよび例示的なそれぞれの本発明の集中型装置(例示的な集中型ECU)は、車両ネットワーク(例えばCAN、イーサネット(登録商標)、LIN、MOST、FlexRayなど)のいずれかを介して相互接続された車両内の他のすべてのECUに任意のサービスを提供できる、拡張可能で安全かつセキュアなSOAサーバの形態で実装できる。例示的な集中型ECUのこの例示的な本発明のSOAサーバは、(本明細書に詳述された原理と一致するすべての目的のために本明細書に組み込まれる、米国特許出願第15,486,055号(特許出願1)に記載されるように)遠隔管理サービス、遠隔監視サービス、無線(OTA)更新サービス、対称暗号化サービス(例えばAES、DES)、非対称暗号化サービス(例えばRSA、ECC)、認証局(CA)に対する証明書の保存および検証、認証局サービスの提供、証明書の発行と署名、およびセキュアストレージ(暗号化メモリ、TPM(トラステッドプラットフォームモジュール)など)サービス、ソフトウェア画像管理および配布サービス、ソフトウェアホスティングサービス、データ匿名化サービス、ソフトウェアサンドボックスサービス、集中型ファイアウォール、セキュリティ構成管理、侵入検知システム(IDS)、侵入防止システム(IPS)、および/またはロックダウンコアを含むことができる。
【0046】
一部の実施形態では、例示的な本発明のSOA ECUを使用して、車両からデータを安全に収集、処理、記憶、および/または、データを収益化し、および/またはそれに基づいてサービスを提供するサービスプロバイダにデータを送信することができる。一部の実施形態では、サービスプロバイダは、車両のセキュリティのあらゆる側面を担当する集中施設の形態のセキュリティオペレーションセンター(SOC)であり得る。
【0047】
一部の実施形態では、例示的な本発明のSOA ECUを使用して、車両からデータを安全に収集、処理、およびデータを収益化するサービスプロバイダに送信することができる。一部の実施形態では、例示的な本発明のSOA ECUは、HSM(ハードウェアセキュリティモジュール)モジュール、TPM(トラステッドプラットフォームモジュール)モジュールおよび/または暗号化コプロセッサなどの機能の一部を実装および加速するためのハードウェアモジュールを含み得る。一部の実施形態では、例示的な本発明のSOA ECUによって提供されるサービスは、無線(OTA)ソフトウェアの更新を含む例示的な本発明のSOA ECUへの更新を介して修正(追加、削除、機能変更、および/または構成修正(規則、アクセスリストなど))することができる。一部の実施形態では、サービスは工場で事前搭載することができ、例示的な本発明のSOA ECUが動作状態になった後に遠隔で作動させることもできる(例えば、車両が顧客に引き渡された後に販売される追加機能)。一部の実施形態では、例示的な本発明のSOA ECUによって提供されるサービスは、エンジン性能の向上、(例えば、様々な道路状況、氷、冬に対する)サスペンションの修正、および運転モード(スロットル応答時間、ステアリングなど)の適応などを含むが、これに限定されない。そのような機能は、OTA更新を介して(例えば、インターネットのクラウドベースのプッシュまたはプルサービスを介して)遠隔で送信できる、および/または要求に応じて起動される、および/または無期限にまたは設定期間にわたって提供される。一部の実施形態では、そのような機能の配信は、インターネットのクラウドベース管理ソリューションによって遠隔管理することができる。一部の実施形態では、例示的な本発明のSOA ECUは、車両および/またはユーザ(例えば、運転手、同乗者)に関連するデータを収集し、収集したデータを安全に記憶、処理、および/またはサービスプロバイダに送信することができる。一部の実施形態では、収集されたデータは、サービス固有および/またはユーザ固有のニーズおよび/または実社会の運用に合わせて調整されるように構成され得る。一部の実施形態では、収集されたデータは、例えば、これに限定されないが、ユーザの運転行動を修正するために、(例えば、ヘッドユニットの車載アシスタントを通じて)ユーザに推奨を提供するために第三者によって利用されるように構成される。
【0048】
一部の実施形態では、例示的なSOA ECUは、(例えば、干渉を防止し、性能を保証するために)各個別サービス構成要素を互いに完全に分離しながら、様々なサービスが動作するリアルタイムの安全かつセキュアな環境を提供するように設計され、また、接続されている各ネットワークまたはクライアントの処理を分離することができる(安全性およびサービス品質を考慮して、クライアントに所定のレベルのサービスおよびパフォーマンスを提供するか、安全性重視のクライアント/ネットワークを安全性重視でないクライアント/ネットワークと相互接続しないようにする)。一部の実施形態では、例示的なSOA ECUは、必要とされるあらゆる種類のネットワークプロトコルのための汎用サービスAPIを可能にすることができる規定を含むことができる。一部の実施形態において、例示的なSOA ECUは、最新のプロトコル(例えば、イーサネット)に対して最大の性能を提供しながら、レガシープロトコル(例えば、CAN、LIN)がこのアーキテクチャの利点を利用できるように構成され得る。
【0049】
一部の実施形態では、例示的なSOA ECUは、各クライアント(および/またはネットワーク)に要求される性能の各レベルに対応し、要求されたレベルにリアルタイムのサービス品質(QoS)を提供するように構成することができる。これにより、直接的なコストと統合の複雑さ(およびコスト)の両方が軽減される。(その機能が複数のティア1で製造された複数のECUで提供されていたため)OEMが何度も費用を負担して同じ機能をテストして統合するのではなく、費用負担、テスト、および実装されるのは1回だけで、他のECUはそれが正しく動作しているものとしてこれを利用するだけである。一部の実施形態では、テストは一度だけ実行されればよいので、重要なサービスまたは安全関連サービスがより徹底的にテストされるので、例示的なSOA ECUは車両内の機能の信頼性を向上させる。一部の実施形態では、例示的なSOA ECUは、特定の安全規格(例えば、ISO26262)および/または特定のサイバーセキュリティ規格(例えば、ISO15408)を満たすように構成することができ、したがってそれが正しく動作しているという保証を提供する。一部の実施形態では、例示的なSOA ECUは、例示的なSOA ECUがプラットフォームとして認定されているが、安全ではない/セキュリティ重視でない個々のサービスが認定される必要がないように構成することができる。
【0050】
一部の実施形態では、例示的な本発明のSOA ECUは、図1に示す例示的設計によって構成することができる。例えば、例示的な本発明のSOA ECUは、これに限定されないが、CPU/DSP/SoC/マイクロコントローラ(例えば、Infineon Technologies社のTriCore(TM)(ノイビーベルク、ドイツ)、NXPセミコンダクターズ社のMC57xx(TM)(アイントホーフェン、オランダ)、ルネサスエレクトロニクス社のR-Car(東京、日本)など)などの任意の適切な自動車用コンピューティングハードウェアに基づくことができる。一部の実施形態では、例示的な本発明のSOA ECUは、例えばボードサポートパッケージ(BSP)、アーキテクチャサポートパッケージ(ASP)、またはその両方の組み合わせを含むファームウェア層を有するように構成することができる。
【0051】
一部の実施形態では、例示的な本発明のSOA ECUは、OS(例えば、AUTOSAR(TM)、Linux(登録商標)(TM)、その他)上で、またはOSなし(ベアメタル)で実行するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUは、そのすべてのサービスへのアクセスを許可し、クライアントECUの認証および/または例示的な本発明のSOA ECUと特定のクライアントECUまたは外部システムとの間のトラフィックの暗号化を可能にするAPIを含むように構成することができる(例えば、ドイツ、シュツットガルトのVector Informatik社によるAUTOSARベースのサービスAPI)。一部の実施形態では、例示的な本発明のSOA ECUは、クライアント要求のリアルタイム処理を優先するように構成することができる(例えば、安全性重視のECU動作/要求は、安全性重視でないECUよりも高い優先度を受ける)。一部の実施形態では、例示的な本発明のSOA ECUは、1つ以上のプロセッサコア上で実行される1つ以上の要求待ち行列上のサービス要求を処理するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUは、所定のセキュリティポリシーに従って、そのすべてのサービスへのアクセスを管理するように構成することができ、このポリシーは、特定のECUによる特定のサービスへのアクセスを選択的に許可したり、一部のECUによる一部のサービスへのアクセスを拒否したりするように設計することができる。一部の実施形態では、本発明のSOA ECUは、特定のタスクをハードウェアにオフロードし、および/または実行を補助構成要素に転送するように構成することができる。
【0052】
一部の実施形態では、例示的な本発明のSOA ECUは、任意のプロトコル処理および構文解析を担当するように構成することができる。例えば、例示的な本発明のSOA ECUは、1つ以上のネットワーク通信プロトコル(例えば、CAN、イーサネットなど)を介してサービスAPIへのアクセスを提供するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUは、それ自体の専用ECUとして構成する、または車両内の既存のECUの一部とすることができる。一部の実施形態では、例示的な本発明のSOA ECUは、様々なネットワーク通信プロトコルを介したAPIアクセスの通信およびサービスを可能にするために、DDS(データ配信サービス)、CORBA(共通オブジェクト要求ブローカアーキテクチャ)および/またはESB(エンタープライズサービスバス)インフラストラクチャを利用するように構成することができる。
【0053】
一部の実施形態では、例示的な本発明のSOA ECUは、ハードウェアに対するドライバ(ファームウェアの一部)が悪用されてハードウェアへの不正アクセスを得たり、システム用に意図したのと異なる方法で動作させたりしないようにするセキュアファームウェアを含むように構成できる。セキュアなファームウェアは、通常、関連する安全規格(例えば、ISO26262)およびセキュリティ規格(例えば、ISO15408)に準拠するように書かれているファームウェアである。一部の実施形態では、例示的な本発明のSOA ECUは、認定された分離カーネル(例えば、Green Hills Software社のIntegrity、WindRiver社のVxWorks、Sysgo社のPike OSなど)を含むように構成することができる。これは、様々なネットワーク(パワートレイン、利便性、ボディ、インフォテインメントなど)、クライアントおよび/またはサービス間の安全でセキュアな分離を可能にすることができる。一部の実施形態では、例示的な本発明のSOA ECUは、1つのネットワークのクライアントが他のネットワークに提供されるサービスおよび/またはサービス品質に影響を与えるのを防ぐように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUは、各ネットワーク用に別々の区画を含むことができ、例えば分離カーネルは、両メモリアドレス空間(例えば、ストレージメモリ-ROM/フラッシュ、およびランタイムメモリ-RAM)および/またはプロセッサ時間(例えば、各区画は、そのような区画からの命令が実行のためにランタイムコンテキストに挿入される、専用の静的および所定のタイムスロットを有する)内の区画間に安全でセキュアな分離を提供するように実装できる。一部の実施形態では、例示的な本発明のSOA ECUは、要求されるサービス品質に従って区画にタイムスロットを割り当てるように構成することができる(安全性重視の区画は、サービスへの優先アクセスを可能にするためにより長いタイムスロットを受け取ることができ、または安全性重視でない区画と比較してより多くのタイムスロットを受け取ることができる)。例えば、図2に示す例示的な一実施形態によれば、各区画は、特定のネットワークに利用可能なそれ自身の特定のサービスのサブセットを用いてそれ自身のSOAサーバのインスタンスを実行することができる。分離カーネルの上にハイパーバイザがある可能性があるため、各区画に独立したOSを含めることができる。そうでなければ、一部の実施形態では、例示的な本発明のSOA ECUサーバは、分離カーネル上で、またはハードウェアプロセッサが提供する他の任意のメカニズム(例えば、メモリ保護ユニット(MPU)またはARM社のTrustZoneなどのセキュリティモニタを介した分離)上ですべてのサービスをネイティブ(または「ベアメタル」)で実行するように構成することができる。
【0054】
一部の実施形態では、例示的な本発明のSOA ECUは、図3に示すように、クライアントの重要性に基づいて、ならびに/あるいは安全性重視および/または安全性重視でないECUもしくはネットワーク間に分離を含むように構成することができる。そのような例示的なアーキテクチャは、安全性重視のECUに特定のサービスを提供し、サービス品質レベルがそれらの要件に合わせて調整されることを保証することができる(主に安全性重視区画のタイムスロット割り当てである、プロセッサおよびリソースの可用性を保証する)。例えば、ハイパーバイザなしでは、すべてのアプリケーション(例示的な本発明のSOA ECUサーバおよびサービス)は、分離カーネル上でネイティブに動作する。
【0055】
本明細書で、例えば図2および図3で詳述するように、サービスが異なる区画内でホストされている場合でも、例示的な本発明のSOA ECUを再開発または修正する必要はなく、いくつかの区画にインスタンスを有する独立した機能ユニットとして使用することができる。
【0056】
一部の実施形態では、例示的な本発明のSOA ECUは、セキュリティなどの共通の機能間の再利用を可能にし、各ECUおよび/またはアプリケーションがそれらをローカルに実装する必要性を軽減するように構成することができる。セキュリティの観点から、例示的な本発明のSOA ECUは、システムの全体的なセキュリティ状態を監視し、必要に応じて任意のイベントに反応することを可能にするように構成することができる。例えば、セキュリティ関連の構成要素が正しく実装され、適切に利用される必要があり、例えば、セキュリティメカニズムのみがアクセスを許可されるように、証明書はアクセス保護されたメモリに記憶される必要がある。セキュアなストレージが暗号化されていても、どのエンティティからもアクセスが許可されている場合、セキュアではない。したがって、例示的な本発明のSOA ECUは、リソースを節約しながらシステム全体のセキュリティを向上させるように構成することができる。さらに、分離カーネルを利用することによって、区画内の不良/障害のあるアプリケーションが他の区画に悪影響を与えること(例えば、サービス妨害(DoS)攻撃)を防ぐことができる。安全性の観点から、この例示的な本発明のSOA ECUアーキテクチャを有する例示的な本発明のコンピュータシステムは、すべてが単一のECU上でホストされる一方で、要求される安全レベルおよびサービス品質に従ってサービスおよびクライアントの分離を可能にする。他の分離ロジック(サービスが区画間でどのように分割されるか)を使用することもできるが、区画は共通の要件(安全性、セキュリティ、および重要度レベル)のサービス環境を提供する。
【0057】
一例示的実施形態では、図4に示すように、例示的な本発明のSOA ECUを遠隔管理サーバ上に実装することができ、それによって遠隔更新(OTA更新-無線更新)を車両内の様々なECUに配布することができる。さらに、例示的な本発明のSOA ECUは、それ自体のOTA更新およびSOA ECUによって提供されるサービスをサポートすることができる。一部の実施形態において、遠隔更新の認証および検証を可能にすること以上に、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、外部通信により他のすべてのECU(例えば、V2X通信ECU、遠隔測定ECUなど)に認証サービスを拡張するように構成することができる。例示的な一実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、セキュアな通信に使用されるすべてのデジタル証明書を検証し、通信における様々な当事者を認証する認証局(CA)を実装するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、すべての利用可能なサービスにアクセスできるようにプログラム可能な拡張可能サービスAPIを含むように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、ゲートウェイサービスを実行することによって相互接続ネットワーク間のゲートウェイとしても機能するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUは、(それが別個のサブネットワークであるかのように)ゲートウェイECUに直接接続するように構成することができる。
【0058】
例示的な一実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、ザイリンクス社(カリフォルニア州サンノゼ)の、デュアルコアARM A9プロセッサおよびArtix-7 FPGAを備えるZynq(登録商標)7010システムオンチップ(SoC)に基づくことができる。そのような例示的な設定は、1GBのDDR3 RAMおよび4GBのフラッシュSSDを有することができ、それは本発明のシステムのための動作および記憶メモリを提供する。イーサネットインタフェースは、ZynqおよびMarvell社のAlaska PHY(88E1116R)の内蔵ギガビットイーサネットコントローラを介したイーサネット通信に基づくインフォテインメントネットワークなどの1つの車両ネットワークにサーバを接続できる。別の実施形態は、Broadcom社のBroadR-Reach Automotive Ethernet PHYを利用することができる。図4では、V2X通信ネットワーク(車-車間・路車間)通信は、車両からその車両に影響を与える可能性のある任意のエンティティに情報を渡すことができ、その逆も可能である。典型的には、車両通信システムは、これに限定されないが、V2I(車両対インフラストラクチャ)、V2V(車両対車両)、V2P(車両対歩行者)、V2D(車両対装置)および/またはV2G(車両対送電網)など、他のより具体的なタイプの通信の少なくとも1つを組み込む。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、NXP MC33901トランシーバ(PHY)およびZynq SoCの内蔵FPGA(例えば、Bosch社のC_CAN FD8 IPモジュールなど)に実装されたコントローラを介して実装できる、1Mbpsを超える高速通信をサポートする柔軟なデータ転送速度を有するCAN(CAN FD-ISO 11898-1:2015)に基づくように構成できる。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムが使用するように構成できるネットワークインタフェースは、例えば、これに限定されないが、すべて最大1Mbpsの伝送速度で動作するZynq SoCの内蔵コントローラやNXP TJA1040などの外部トランシーバに基づくCAN2.0Bインタフェース(ISO11898-2:2003)とすることができる。
【0059】
例示的な一実施形態では、QNXニュートリノRTOS(リアルタイムオペレーションシステム)マイクロカーネルを分離カーネルとして使用することができる。暗号化コプロセッサは、一般的な暗号化機能(例えば、AES暗号化、SHA-1ハッシュ計算、RSA暗号化および署名検証、乱数生成など)のためのハードウェアアクセラレーションを含む専用チップである。この非限定的な実施形態では、NXP C291コプロセッサを利用することができる。例えば、図5は、本発明のSOA ECUを有するこのような本発明の遠隔管理サーバハードウェアのアーキテクチャの一例を示す。
【0060】
一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、他のECUと通信するために任意の適切な通信プロトコル(例えば、LIN、FlexRay、MOSTなど)を利用するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUは、すべての区画がその許可されたセットリソースのみにアクセスできるように、マイクロカーネルがハードウェアリソース(例えば通信インタフェース、暗号コプロセッサなど)へのアクセスを保護するように構成することができる。これらは例示的な本発明のSOA ECUの主構成に予め決められている。この実施形態では、OTA更新は、インフォテインメントネットワークの一部であるインフォテインメントECU(またはいくつかある場合にはインフォテインメントヘッドユニットECU)に接続されるであろう外部無線通信インタフェース(例えば3Gセルラ)を介して、(自動車OEM遠隔更新サーバから)通信することができる。例えば、更新をOTAサービスで受信し、検証後に(特定の更新に関連するECUのセットに従って)他の相互接続ネットワークに配布することができる。一部の実施形態では、インフォテインメントネットワークに接続されたECUに対する更新もまた、例示的な本発明のSOA ECUを有する遠隔管理サーバに渡され、検証され、次いで関連するECUに送信され得る。例えば、更新を検証するために、OTAサービスはすべてのデジタル証明書(X509準拠の証明書)を管理するCAサービスを使用することができる。例えば、CAサービスは、CAサービスが管理することになる1セットのルート証明書に対して、外部または内部の通信関係者によって提供されたデジタル証明書の有効性を検証することができるであろう。例えば、OEM更新サーバは、更新と共にCAサービスで認証するための有効な証明書を提供する必要がある。この証明書は、自動車の製造中に例示的な本発明のSOA ECUに事前搭載されているルート証明書を使用して検証されるであろう。一部の実施形態では、CAサービスによって使用されるルート証明書もまた、更新パッケージの一部として遠隔で更新することができる。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、(例えば、SHA-256アルゴリズムを使用して)そのハッシュを計算し、更新パッケージと共に提供される署名付き証明書(RSA、ECCなどの標準の非対称暗号化アルゴリズムを使用して署名された証明書)に含まれるハッシュ値と比較することによって、更新ファイルの完全性を検証する追加のセキュリティ手段を利用するように構成できる。これにより、CAサービスは更新を検証することができる。基本的に、CAサービスは車両全体の信頼の根幹に役立ち得る。例えば、認証サービスは、証明書のハッシュ値を(例えばSHA-256を使用して)計算し、かつ証明書内の署名付きハッシュ値がルート証明書の秘密鍵を使用して署名されたかどうかを(ルート証明書の公開鍵を使用して)確認する一般的な方法を使用して、証明書を検証することができる。証明書内の計算されたハッシュ値と添付された署名付き値(公開鍵を使用して導き出された値)が一致する場合、それは立証される。
【0061】
一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、OEMおよび他の適切なエンティティと通信して車両および/またはその使用に関する遠隔測定情報(例えば、エンジン利用率、燃料効率、利用統計など)を送信できるテレマティクスECUを管理するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、それ自体および/または車両内の他のECU内の機能を有効化/無効化(例えば、様々な燃料効率モードの有効化、誤動作などの場合に低パフォーマンスモードを有効化)する様々なコマンドも受信できるテレマティクスECUを管理するように構成することができる。例えば、テレマティクスECUは、通信している遠隔エンティティを(PKIを介して)認証するために、認証サービス(これは次にCAサービスを使用することもできる)を使用する。例えば、各エンティティは、認証サービスによって検証された署名付きデジタル証明書(X509準拠)を含むハンドシェイクとの通信を確立する。一実施形態では、認証サービスは、その動作の一部を実行するためにCAサービスの機能を利用することができる。一部の実施形態では、CAサービスは、他のすべての区画が使用しているインフォテインメント区画にインスタンスを有することができる(これはカーネルによって仲介される区画間通信メカニズムを介して行われ、そのような直接ソケット接続またはメッセージは共有メモリを介する)。別の実施形態では、利用のボトルネックおよび一度に複数の区画からサービスへのアクセスを回避するために、CAサービスをそれを必要とするすべての区画に複製することができる。
【0062】
一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、車両、歩行者および/またはインフラストラクチャ(信号機、道路など)などの外部エンティティとリアルタイム通信できるV2X ECUを管理するように構成することができる。一部の実施形態では、そのようなV2X通信は暗号化することができる。例えば、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、V2X ECUによるV2X通信に安全で効率的な暗号化アルゴリズムAES256を使用するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECU(遠隔管理サーバ)は、内蔵暗号コプロセッサおよび通信暗号化サービスを利用してV2X ECUへの/からのデータを暗号化および復号するように構成することができる。例えば、適切な暗号化鍵を選択するために、通信暗号化サービスは(各エンティティ、プロバイダ、自治体、またはその他の区分ごとに個別の証明書がある場合)適切な証明書を使用でき、これにより、両当事者(V2X ECUと外部エンティティ)が(ディフィー・ヘルマン鍵交換アルゴリズムなどのよく知られたアルゴリズムを使用して)対称暗号鍵を交換できるようになる。対称鍵を使用すると、実際のV2X ECUが暗号化や鍵管理を処理しなくても、コプロセッサは(ハードウェアアクセラレーションを利用して)データを高速で暗号化および復号できる。例えば、認証サービスは、その動作の少なくとも一部を実行するためにCAサービスの機能を利用することができる。
【0063】
図6は、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステム(「SOAサーバ」として識別される)が一部の実施形態において利用することができるネットワーク分離を伴う例示的なソフトウェアアーキテクチャを示す。例示的な本発明のSOA ECUを有する本発明の遠隔管理サーバのこの例示的なアーキテクチャでは、各区画は、それぞれのサブネットと通信するのに必要なハードウェアにしかアクセスできない(例えば、インフォテインメントネットワークはイーサネットコントローラにのみアクセスでき、CANトランシーバにはアクセスできない)。さらに、アクセスをすべてのハードウェアリソースに制限することができる。例えば、サービスが暗号化コプロセッサへのアクセスを必要としない区画はアクセスできない。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、各区画にアクセス可能なハードウェアアドレスを安全に制限できるマイクロカーネル/分離カーネルを介して(例えば、メモリ管理ユニット(MMU)またはMPU内のアドレスマッピングメカニズムによって)アクセス制御を提供するように構成することができ、これによりハードウェアアクセスを制限する。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、重要度(異なる実施形態における可能性もある)に従ってサービスを分離するのではなくネットワーク(ネットワークごとに1つの区画)に従って、あるいはその両方に従ってサービスを分離するように構成することができる。例えば、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、要求側ECUの識別トークン(例えば、ECU ID)を検証することによって、および/または暗号化手段(例えば、証明書交換)によってECUを認証することによって、そのような制限を実施するように構成することができる。一部の実施形態では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、どの特定のサービスがどのハードウェアリソースおよび/またはどの他の区画にアクセスできるかを制限するために個々のアクセスサーバ(区画内)を利用するように構成することができる。例えば、アクセスサーバとサービスは、分離カーネル上のネイティブアプリケーションとして実装することができる。例えば、QNX Neutrinoの場合は、POSIX準拠のアプリケーションにすることができる(マイクロカーネルはPOSIX APIに完全に準拠しているため)。表1は、例示的な本発明のSOA ECUを有する例示的な遠隔管理サーバからのサービスを要求するECUに対する例示的なAPIのコードを提供する。
【表1】
【0064】
対話型サービス要求の一例は、図7に示すように、外部OEM OTA更新サーバから車両にインターネットを介して送信される無線(OTA)更新である。この通信はインフォテインメントECUによって受信されるが、すべての処理は、例示的な本発明のSOA ECUを有する遠隔管理サーバ上で実行されているインフォテインメントサーバ区画上のOTAおよびCAサービスによって行われる。一部の実施形態では、プロセスは、認証され暗号化された通信セッションを開始するための要求をOEM OTAサーバが送信することによって開始する。それを行うために、OEMサーバは、CAサービスを介して、例示的な本発明のSOA ECUを有する遠隔管理サーバによって検証される署名付きデジタル証明書を供給する。検証後、例示的な本発明のSOA ECUを有する遠隔管理サーバは、(本実施形態で使用されるAES256暗号化のためにCAサービスを使用して)セッション鍵を生成し、OEMサーバ証明書からの公開鍵を使用してこれを暗号化する。この暗号化された鍵は、インフォテインメントECUを介してOEMサーバに送り返される。その後、OEMサーバは、更新パッケージ(更新ファイルおよび証明書を個別に)をセッション鍵で暗号化し、暗号化された更新パッケージをインフォテインメントECUに送信し、インフォテインメントECUはこれを例示的な本発明のSOA ECUを有する遠隔管理サーバのOTAサービスに渡す。OTAサービスは(CAサービスを使用して)更新パッケージを復号し、それに付属する署名付き証明書のハッシュと実際に計算されたファイルのハッシュとを検証することによって更新ファイルの完全性を検証する(この例ではハッシュはSHA-256を使用して計算され、OEMサーバおよび遠隔管理サーバの両方のルートCAの秘密鍵を使用して証明書の署名が作成され、どちらもルート証明書に公開鍵が含まれている)。更新ファイルが検証された後、OTAサービスはそれをすべてのターゲットECUに配布して更新を適用する。これらのターゲットECUは、動作のステータス(例えば、成功、失敗、エラーなど)をOTAサービスに返す。OTAサービスは、すべての応答を1つのリストにまとめて、インフォテインメントECUを介してOEMサーバに返信することができる(このリストは、セッション鍵を使用して暗号化された形式で送信することもできる)。このステップでセッションと更新操作が終了する。
【0065】
一例では、例示的な本発明のSOA ECUを有する例示的な本発明のコンピュータシステムは、例えば例示的な本発明のSOA ECUを有する遠隔管理サーバのTCP/IPソケットを介してメッセージを送信することによってネットワークを介して、および/またはCANフレームのデータセクションを介して通信されるAPI機能呼び出しを受け入れるように構成でき、API機能呼び出しは以下のフォーマットであり得る。
<サービス名>\n<長さ入力1><入力変数1><長さ入力2><入力変数2>...、
ここで、「長さ」は入力変数値のバイト単位での長さである。例えば、改行文字(「\n」、ASCIIでは0xA)は、サービス名と入出力値を区切ることができる。
<サービス名>\n<長さ入力1><入力変数1><長さ入力2><入力変数2>...、
ここで、「長さ」は入力変数値のバイト単位での長さである。例えば、改行文字(「\n」、ASCIIでは0xA)は、サービス名と入出力値を区切ることができる。
【0066】
例えば、サービスの出力は、次のような例示的な形式でクライアントECUに送信される結果になる。
<サービス名>\n<長さ出力><出力変数>
<サービス名>\n<長さ出力><出力変数>
【0067】
他の実施形態では、出力は複数の変数を含むこともできる。
【0068】
図8は、例示的な本発明のSOA ECUを有する遠隔管理サーバ内の例示的なV2Xサーバの通信暗号化サービスのAPI通信の一例を示す。例えば、7(10進数)および00000000111(2進数)のCAN IDを持つV2Xネットワーク上のクライアントは、(AES256を使用して)トラフィックを暗号化して外部インタフェース経由で送信する必要がある。このネットワークは11ビットのCAN識別子を利用するであろう(例えば、別の実施形態では、V2Xネットワークは、CANプロトコル-ISO11898-1:2015に記載されているように29ビットの識別子を使用することができる)。一例では、例示的な本発明のSOA ECUを有する遠隔管理サーバは、15(10進数)および00000001111(2進数)のCAN IDとして接続されている。クライアントは、文字列「パラメータ10,5,65,0.4’」を暗号化しようとしている。通信暗号化サービスが要求を受信してそれを解釈すると、例示的な本発明のSOA ECUを有する遠隔管理サーバは、このクライアントがそれに対して生成された暗号化鍵を有するかどうかを検証するであろう。このクライアントが暗号鍵を持っていない場合、鍵がクライアントのために生成され、例えばこれに限定されないが、フラッシュSSD内の専用区画に記憶される(記憶区画はマイクロカーネルによってこのサービスにのみマッピングされ、一部の実施形態ではこの区画は暗号化されてもよい)。一部の実施形態では、区画は、(CAN IDによって識別される)クライアントのリストおよび各クライアントに対するそれぞれの鍵を含む。新しいクライアントが追加されると、エントリがリストに追加される。リストには鍵が生成された日時を含めることもできるため、リストは所定期間ごとに更新され得る。通信暗号化サービスが鍵を受信すると、通信暗号化サービスはメッセージを暗号化してそれをクライアントに送り返す。この例では、メッセージは256ビットのブロックに埋め込まれる(AES256の最小ブロックサイズ、最後に0個のゼロが埋め込まれる)。この例では、結果として得られる暗号化された256ビットブロック(32バイト)は、次のASCIIシーケンスによって表されると仮定される。“]∧LV2Mc6JFK5Zx?5S=KZQc#U+<!t8’@”。したがって、クライアントは、暗号化操作を行わずに、暗号化鍵にさらされることなく、通信を暗号化できる。鍵が他方の外部の当事者に伝達される必要がある場合には、鍵が生成されるか変更されると、非対称のPKI暗号化を使用してそれを送達することができる。この特定の例では、例示的な本発明のSOA ECUを有する遠隔管理サーバは、1つの集中型ポイントがすべてのOTA更新を受信、検証、管理および配布することを可能にするように構成される。この特定の例では、例示的な本発明のSOA ECUを有する遠隔管理サーバは、暗号化および認証などの他の通信セキュリティサービスを提供するように構成される。一部の実施形態では、この発明の実装は、任意の個々のセキュリティ機能を含むために外部と通信する機能を必要とする任意のECUからの要求を軽減するであろう。
【0069】
図9は、集中セキュリティサービスを他の車両ECUに提供するように構成されることになる例示的な本発明のSOA ECU(図9において「セキュリティサーバ」として識別される)の例示的なセキュリティサーバアーキテクチャを示す。この特定の実施形態では、例示的な本発明のSOA ECU(セキュリティサーバ)は、接続されている様々な自動車ネットワーク間に安全でセキュアな分離を提供するように構成される。サービスはネットワークごとに独立して提供される。例示的な本発明のSOA ECU(セキュリティサーバ)は、他の任意のECUに一般的な対話型サービスAPIを提供するであろう。例えば、例示的なAPIは、将来の拡張をも含むあらゆるサービスをサポートするように拡張可能であろう。図9の例の一部の実施形態では、本発明のセキュリティサーバは、デュアルコアARM A7プロセッサ、SH-4A CPUコア、AES256対称暗号化を高速化するためのオンボード暗号化コプロセッサ、およびSHA-256ならびにRSA非対称暗号化を使用するハッシュ計算モジュールを含むことができるルネサス社のR-Car E2(R8A7794)システムオンチップ(SoC)に基づくことができる。一例では、本発明のセキュリティサーバは、システム用の動作および記憶メモリを提供するために、2GBのDDR3 RAMおよび16GBのフラッシュSSDを有し得る。一例では、本発明のセキュリティサーバは、本発明のセキュリティサーバをV2X通信ネットワークなどの1つの車両ネットワークに接続することができるイーサネットインタフェースを有することができ、R-Car E2に内蔵されたイーサネットコントローラ、およびこれに限定されないがNXP社のTJA1100などの外部イーサネットPHYモジュールに基づくことができる。一例では、高速CAN 1Mbpsインタフェース(ISO11898準拠)を使用して、本発明のセキュリティサーバを(ドアロック/ロック解除、警報、イモビライザ、遠隔キーレスエントリ、スマートキーなどの機能を制御する)ボディネットワークなどの別の車両ネットワークに接続することができる。一例では、インタフェースは、R-Car E2上の内蔵コントローラおよびNXP社のTJA1040などの外部トランシーバに基づくことができる。一例では、本発明のセキュリティサーバは、ソフトウェアインフラストラクチャの一部としてSysgo社のPikeOS分離カーネルおよびハイパーバイザを利用することができる。一部の例では、本発明のセキュリティサーバは、他のECUと通信するために任意の十分に適切な通信プロトコル(例えば、CAN、LIN、FlexRay、MOSTなど)を利用することができる。一部の例では、本発明のセキュリティサーバは少なくとも1つのセッションベースのプロトコルを利用することができる。
【0070】
図10は、車両との外部通信を保護するために、例えば(例えば、V2Xネットワーク内のECUによって要求される)データおよび通信暗号化サービスを提供するために利用される例示的な本発明のSOA ECUの例示的なセキュリティサービスアーキテクチャを示す。例えば、車体のECUには、アラーム、イモビライザ、遠隔キーレスエントリシステムなどの認証情報をサポートするためのセキュアな記憶サービスが必要である。一部の実施形態では、提供される暗号化サービスは任意の暗号化プロトコル(例えばAES、DESおよび他のもの)を含み得る。図10の本発明のアーキテクチャの一部の実施形態では、(例えば、セキュアな記憶またはセキュアなブートの目的で)静止データの暗号化はAES256アルゴリズムを使用して実装でき、送信データの暗号化はAES256を使用して実行できる。例示的な一実施形態では、セキュリティサーバとしての例示的な本発明のSOA ECUは、外部通信による認証を採用することができる。例示的な一実施形態では、セキュリティサーバとしての例示的な本発明のSOA ECUは、例えば、信頼できる第三者による署名付き証明書の交換によって、通信当事者の認証を実行する。例示的な一実施形態では、例示的な本発明のSOA ECUは、PKIインフラストラクチャを使用し、次に非対称暗号法を使用して証明書を検証するように構成され、対称鍵はディフィー・ヘルマンアルゴリズムによって交換される。例示的な一実施形態では、例示的な本発明のSOA ECUは、非対称暗号化サービス(例えば、RSA、楕円曲線暗号化(ECC)など)を使用するように構成される。例示的な一実施形態では、PKI証明書は標準のX509証明書に準拠することができ、非対称暗号化はECCを使用して実施することができる。例示的な一実施形態では、暗号化鍵および証明書を記憶するために、セキュリティサーバとして機能する例示的な本発明のSOA ECUは、例えばフラッシュドライブ内の専用の1GB区画を利用することができ、ここにすべてのデータは(例えば、SoC上のAES256コプロセッサおよび/またはデータ暗号化サービスを使用して)暗号化ファイルとして記憶される。例えば、主暗号化鍵は、SoC暗号化コプロセッサ内の専用のオンチップセキュアストレージ内に記憶することができる。さらに別の実施形態では、暗号化鍵および証明書は一時的なものとすることができる(セッションごとにまたはリアルタイムで生成され、RAMなどの揮発性メモリに記憶される)。一部の実施形態では、各ネットワークは、例示的な本発明のSOA ECUの別々の区画に、必要なサービスをサポートする専用のセキュリティサーバを有することができる。例えば、各サービスを個別のプロセス(個別のアプリケーション)としてホストすることも、セキュリティサーバプロセスがすべての機能をホストして各サービスおよび各クライアントに対して個別のスレッドを開くこともできる。例えば、例示的な本発明のSOA ECUによって提供されるセキュリティサーバサービスは、バックグラウンドでオペレーティングシステムサービスまたはデーモン(Linux(登録商標)の場合)として動作し、新しいクライアント接続要求をリッスンすることができる。例えば、本発明のセキュリティサーバがボディネットワークにサービスを提供する場合、セキュアな記憶サービスは単純であり、OSのオーバーヘッドは最小化されるので、OSは使用されないであろう。例えば、ボディセキュリティサーバは、分離カーネルの上にあるネイティブアプリケーションとして実装することができる。
【0071】
表2は、V2Xイーサネットネットワーク上のクライアント(例えばIP10.0.0.58)にサービスを提供しながら、本発明のセキュリティサーバ(例示的な本発明のSOA ECU)による外部システムへのAPI要求呼び出しに対応する例示的なコードを提供する。例えば、クライアントは本発明のセキュリティサーバのリスニングポート(例えばセキュリティサーバのIP10.0.0.25上のポート62320)にメッセージを送信し、そのメッセージでクライアントは必要なサービスとすべての必要な入力データを識別する。例えば、ボディネットワークの場合、クライアントは1つ以上のCANフレームを通じてサービスの名前および入力データを送信することができる。一部の実施形態では、本発明のセキュリティサーバとクライアントとの間の通信は、例えば、クライアントと本発明のセキュリティサーバの両方に事前搭載され、信頼できる認証局によって署名される(セキュリティサーバ自体が認証局として機能することもできる)デジタル証明書を使用するSSL/TLSを使用するイーサネットベースのネットワークで認証および暗号化できる。外部システムに対するセキュリティサーバのAPIのコードベースの例を以下に示す。追加された追加サービスは、それら自身のAPI呼び出しを追加する。
【表2】
【0072】
例えば、AES256を使用してデータブロックを暗号化するために、V2Xネットワーク上のクライアントは、例示的な本発明のセキュリティサーバ(例示的な本発明のSOA ECU)のポート62320に以下のデータを含むであろうメッセージを送信する。
「EncryptAES256 19 asdjnkasdn43254.sda」、
ここで、「asdjnkasdn43254.sda」は暗号化されるデータで、長さは19バイトになる(または19文字、0を埋め込んで32文字にされる-AES256の最小ブロックサイズは32バイト)。結果は、開かれたポートを介してクライアントに送り返される暗号化されたデータ「EncryptAES256 32 lkajsdlksadj87asd!!jd/kfd;skmfds」であり得、「lkajsdlksadj87asd!!jd/kfd;skmfds」が暗号化テキストであると推測される。
「EncryptAES256 19 asdjnkasdn43254.sda」、
ここで、「asdjnkasdn43254.sda」は暗号化されるデータで、長さは19バイトになる(または19文字、0を埋め込んで32文字にされる-AES256の最小ブロックサイズは32バイト)。結果は、開かれたポートを介してクライアントに送り返される暗号化されたデータ「EncryptAES256 32 lkajsdlksadj87asd!!jd/kfd;skmfds」であり得、「lkajsdlksadj87asd!!jd/kfd;skmfds」が暗号化テキストであると推測される。
【0073】
一部の実施形態では、暗号化鍵について、例示的な本発明のセキュリティサーバの例示的なセキュリティサービスは、データを暗号化するために鍵を使用することになるすべてのクライアントに対して一意の鍵を生成することができる。例えば、鍵は(例示的な本発明のセキュリティサーバに組み込まれる)暗号コプロセッサ内の専用記憶装置に記憶することができ、あるいは鍵の量が多い場合には、クライアントのIDおよび鍵のリストを含むセキュアな区画内の別個のファイルに鍵を記憶することができる。例えば、そのようなファイルは、暗号化コプロセッサの内部に記憶されることになる一意のセキュリティサーバ暗号化鍵によって暗号化することができる。一部の実施形態では、専用のセキュアな記憶装置(例えばフラッシュ)をSoCに直接接続し、本発明のセキュリティサーバのプロセス(分離カーネル許可によって保護されている)によってのみアクセス可能とすることができ、すべての鍵をそこに記憶することができる。一部の実施形態では、暗号化鍵はセキュリティサーバへの入力とすることができ、または鍵が内部で生成されると、そのような鍵を将来の使用のためにクライアントに返すこともできる(例えば、鍵を他方の当事者と交換しなければならない通信を暗号化するため)。一部の実施形態では、例示的な本発明のセキュリティサーバ(図11では「サーバ」として識別される)は、例えば図11に示すようにセキュアな記憶を利用することができる。例えば、データを安全に記憶するために、例示的な本発明のセキュリティサーバは、一意のクライアント鍵を利用することができる(クライアントは、そのIPによって、または任意のIDなどの他の手段によって識別することができる)。例えば、セキュアストレージサービスは、暗号化サービスを内部的に呼び出し、暗号化されたデータを受信し、鍵を「ClientIP.VarName.data」という名前のファイルとして専用区画に記憶することができる。
【0074】
例えば、セキュリティサービスの集中型実装を提供する例示的な本発明のセキュリティサーバは、本発明のシステムおよび車両全体のセキュリティレベルを向上させる。例えば、セキュリティ関連の機能は正しく実装する必要があり、綿密なテストが必要なため、セキュリティサービスを集中的に実装することで、各アプリケーションまたはECUが、安全ではない可能性もある、独自のセキュリティ実装を行うリスクを軽減することができる。本発明は、セキュリティに関連するすべての機能を安全で検証済みかつ認証済みの本発明のシステムに集中させることを可能にし、それによってセキュリティメカニズムにおける信頼性を高める。例えば、様々なECUはソフトウェアの更新および/またはECUの追加によって向上する必要があるので、追加のサービスを可能にするために本発明のセキュリティサーバを(ソフトウェアの更新によって)更新することもできる。例えば、本発明の原理による集中型実装は、各機能に必要なインスタンスは1つだけであり、そのようなインスタンスは必要な数のクライアントにサービスを提供できるため、コストを削減し、柔軟性を高める。例えば、新しいアプリケーションまたはECUが特定のサービスを必要とする場合、そのような新しいアプリケーションまたはECUは、そのようなサービスを本発明のセキュリティサーバに要求するだけでよい。一部の実施形態では、例示的な本発明のアーキテクチャは、階層型バリューチェーン業界においてサービス指向アーキテクチャを有することによる困難を最小限に抑えるように構成される。例えば、SOA ECUは完全に独立したシステムであるため、あらゆる自動車プロトコルで通信可能で、かつ他のECUとのセッションや同期を必要としない標準APIを備えている。例えば、すべてのティア1メーカは、インタフェース仕様(特定のSOA ECUが送受信する必要があるメッセージのリスト)に頼ることができる。そして各ティア1は、それぞれのECUを完全に独立して実装し、ECUによって必要とされるサービスにのみ完全に非同期的にアクセスする。注目すべきことに、本明細書に記載の実施形態は、もちろん、任意の適切なハードウェア言語および/またはコンピューティングソフトウェア言語を使用して実装され得る。これに関して、当業者は、使用され得るコンピュータハードウェアの種類、使用され得るコンピュータプログラミング技術の種類(例えば、オブジェクト指向プログラミング)、および使用され得るコンピュータプログラミング言語(例えば、C++、Basic、AJAX、Java(登録商標)スクリプト)の種類に精通している。前述の例はもちろん例示的であり、限定的ではない。
【0075】
一部の実施形態では、例示的な本発明のSOA ECUは、これに限定されないが自動車会社および適切な第三者などのエンティティが、車両のライフサイクル全体を通して遠隔におよび/またはリアルタイムで1つ以上の付加価値サービスをユーザに提供できるように構成/プログラムすることができる。一部の実施形態では、例示的な本発明のSOA ECUは、あたかもサブスクリプションのような構成の場合のようにサプライヤに継続的な収入の流れをもたらす、ユーザ経験の継続的な個別化を可能にするように構成/プログラムすることができる。
【0076】
一部の実施形態では、本発明は、少なくとも以下の構成要素、すなわちサービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を含む例示的な本発明のシステムを提供し、SOA ECUは少なくとも1つの例示的な本発明のSOAサーバを含み、SOA ECUは車両内にあり、少なくとも1つのSOAサーバは、車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、少なくとも1つのSOAサーバは、少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される。
【0077】
一部の実施形態では、例示的なSOA ECUはさらに、少なくとも1つの第1のSOAサーバを含む少なくとも1つの第1の区画を含み、少なくとも1つの第1のSOAサーバは、少なくとも1つの第1のサービスを少なくとも1つの第1のクライアントECUに提供するように構成され、少なくとも1つの第1のSOAサーバは、少なくとも1つの第1のサービスを提供するために、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを割り当てるように構成され、例示的なSOA ECUはさらに、少なくとも1つの第2のSOAサーバを含む少なくとも1つの第2の区画を含み、少なくとも1つの第2のSOAサーバは、少なくとも1つの第2のサービスを少なくとも1つの第2のクライアントECUに提供するように構成され、少なくとも1つの第2のSOAサーバは、少なくとも1つの第2のサービスを提供するために、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを割り当てるように構成され、少なくとも1つの第1の区画および少なくとも1つの第2の区画は、分離カーネルを介して互いに動作上分離される。
【0078】
一部の実施形態では、少なくとも1つの第1の区画は、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第1の専用メモリリソースを用いて少なくとも1つの第1のオペレーティングシステム(OS)を実行するように構成され、少なくとも1つの第2の区画は、少なくとも1つの第2の専用処理リソースおよび少なくとも1つの第2の専用メモリリソースを用いて少なくとも1つの第2のOSを実行するように構成され、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第2の専用処理リソースは、少なくとも1つの専用ハードウェアモジュールの一部であり、分離カーネルは、少なくとも1つの第1の専用処理リソースおよび少なくとも1つの第2の専用処理リソースに、少なくとも1つの第1のサービスまたは少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供し、少なくとも1つの第1の専用メモリリソースおよび少なくとも1つの第2の専用メモリリソースは、少なくとも1つの専用ハードウェアモジュールの一部であり、分離カーネルは、少なくとも1つの第1の専用メモリリソースおよび少なくとも1つの第2の専用メモリリソースに、少なくとも1つの第1のサービスまたは少なくとも1つの第2のサービスをそれぞれ実行するための個別のアクセスを個別に提供するように構成される。
【0079】
一部の実施形態では、少なくとも1つの第1のSOAサーバは安全性重視のサーバであり、少なくとも1つの第2のSOAサーバは安全性重視でないサーバである。
【0080】
一部の実施形態では、少なくとも1つの第1のクライアントECUは少なくとも1つの第1のネットワークに関連付けられ、少なくとも1つの第2のクライアントECUは少なくとも1つの第2のネットワークに関連付けられ、少なくとも1つの第1のネットワークと少なくとも1つの第2のネットワークとは異なるネットワークである。
【0081】
一部の実施形態では、分離カーネルは、少なくとも1つの障害のある区画が少なくとも1つの障害のない区画に悪影響を及ぼすのを防止または妨げるように構成される。
【0082】
一部の実施形態では、少なくとも1つの障害のある区画は、サイバー攻撃を受けやすい区画である。
【0083】
一部の実施形態では、少なくとも1つのSOAサーバは、少なくとも1つのクライアントECUに関連付けられたサービス品質(QoS)レベルに少なくとも部分的に基づいて少なくとも1つのサービスを提供するように構成される。
【0084】
一部の実施形態では、少なくとも1つのサービスは、i)遠隔管理サービス、ii)遠隔監視サービス、iii)地上波(OTA)更新サービス、iv)対称暗号化サービス、v)非対称暗号化サービス、vi)証明書管理サービス、vii)中央ファイアウォールサービス、viii)セキュアストレージサービス、ix)ロックダウンサービス、x)侵入検知サービス、xi)侵入防止サービス、xii)セキュア処理サービス、xiii)認証局(CA)サービス、xiv)通信セキュリティサービス、xv)認証サービス、xvi)アイデンティティ管理サービス、xvii)鍵管理サービス、xviii)更新配布サービス、xix)ソフトウェア回復サービス、xx)ソフトウェアフラッシュサービス、およびxvii)それらの任意の組み合わせからなる群から選択される。
【0085】
一部の実施形態では、SOA ECUは、i)車両関連データ、およびii)車両の少なくとも1人のユーザに関するユーザ関連データ、のうちの少なくとも1つを収集するように構成された少なくとも1つのモジュールをさらに含む。
【0086】
一部の実施形態では、少なくとも1つのモジュールはさらに、車両関連データ、ユーザ関連データ、またはその両方を、第三者に関連付けられた少なくとも1つの電子遠隔目的地に送信させるように構成され、少なくとも1つの電子遠隔目的地は、車両の外部にある。
【0087】
一部の実施形態では、SOA ECUはさらに、i)少なくとも1つのリアルタイムの第1の承認されたソフトウェア変更をSOA ECUに導入すること、ii)少なくとも1つのリアルタイムの第2の承認された変更を少なくとも1つのSOAサーバに導入すること、およびiii)少なくとも1つのリアルタイムの第3の承認された変更を少なくとも1つのサービスに導入すること、のうちの少なくとも1つを可能にするように構成される。
【0088】
一部の実施形態では、少なくとも1つのリアルタイムの第2の承認された変更は、1)少なくとも1つの新しいサービスを少なくとも1つのSOAサーバにリアルタイムで追加すること、2)少なくとも1つのサービスを少なくとも1つの新しいサービスにリアルタイムで置き換えること、3)少なくとも1つのSOAサーバから少なくとも1つのサービスをリアルタイムで削除すること、および4)少なくとも1つのSOAサーバの設定をリアルタイムで変更すること、のうちの少なくとも1つである。
【0089】
一部の実施形態では、少なくとも1つの第1のリアルタイムの第1の承認された変更、少なくとも1つのリアルタイムの第2の承認された変更、および少なくとも1つの第3のリアルタイムの第1の承認された変更は、車両の外部の少なくとも1つの外部ソースから導入される。
【0090】
一部の実施形態では、少なくとも1つのリアルタイムの第1の承認された変更、少なくとも1つのリアルタイムの第2の承認された変更、および少なくとも1つのリアルタイムの第3の承認された変更のうちの少なくとも1つは、i)車両の少なくとも1つの車両固有の特性、ii)ユーザの少なくとも1つのユーザ固有の特性、iii)少なくとも1つのユーザ要求、iv)少なくとも1つのサービスプロバイダ要求、およびv)少なくとも1つのメーカ要求、のうちの少なくとも1つに基づく。
【0091】
一部の実施形態では、少なくとも1つのサービスは、車両の組み立て中に少なくとも1つのSOAサーバに追加され、少なくとも1つのサービスは、車両の耐用期間中の特定の期間、遠隔で作動されるように構成される。
【0092】
一部の実施形態では、少なくとも1つのサービスは、複数の別個のクライアントECUに利用可能な専用アプリケーションプログラムインタフェース(API)要求を介して呼び出されるように構成される。一部の実施形態では、少なくとも1つのSOAサーバは、少なくとも1つのセキュリティポリシーに従って、複数のサービスを複数の別個のクライアントECUに提供するように構成される。
【0093】
一部の実施形態では、少なくとも1つのセキュリティポリシーは、i)特定のクライアントECUへのアクセス、ii)特定のクライアントECUによって利用される少なくとも1つの特定のサービスの利用可能性、iii)少なくとも1つのQoS要件、およびiv)SOA ECUの特定のハードウェアモジュールへのアクセス、のうちの少なくとも1つを制御する少なくとも1つの規則を含む。
【0094】
一部の実施形態では、少なくとも1つのモジュールは、車両関連データ、ユーザ関連データ、またはその両方を送信させる前に、車両関連データ、ユーザ関連データ、またはその両方を用いて少なくとも1つの動作を実行するようにさらに構成される。
【0095】
一部の実施形態では、本発明は、少なくとも以下のステップ、すなわちサービス指向アーキテクチャ(SOA ECU)を有する電子制御ユニットを提供するステップを含む例示的な本発明の方法を提供し、SOA ECUは少なくとも1つのSOAサーバを含み、SOA ECUは車両内にあり、少なくとも1つのSOAサーバは、車両内に位置する少なくとも1つのクライアントECUに少なくとも1つのサービスを提供するように構成され、少なくとも1つのSOAサーバは、少なくとも1つのサービスを提供するために、少なくとも1つの専用処理リソースおよび少なくとも1つの専用メモリリソースを割り当てるように構成される。
【0096】
本発明のいくつかの実施形態を説明したが、これらの実施形態は例示的なものであって限定的なものではないこと、および多くの変更が当業者に明らかとなり得ることが理解され、変更には、本明細書に記載の本発明の方法論、本発明のシステムおよび本発明の装置が、互いに任意の組み合わせで利用できることが含まれる。さらになお、様々なステップは、任意の所望の順序で実行することができる(および任意の所望のステップを追加することができ、および/または任意の所望のステップを排除することができる)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【手続補正書】
【提出日】2023-08-03
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
サービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を含むシステムにおいて、
前記SOA ECUが車両内に配置されており、
前記SOA ECUは、少なくとも1つのSOAサーバを含む少なくとも1つのパーティションを含み、
前記少なくとも1つのパーティションは、
i)セキュアな分離機能、
ii)セキュアなパーティション機能、
iii)セキュアなハイパーバイザ機能、若しくは、
iv)上記のi)~iii)のうちの任意の組み合わせ
の、少なくとも1つを提供するように構成されたカーネルに関連付けられ、
前記少なくとも1つのSOAサーバは、少なくとも1つの第1のクライアント電子制御ユニット(ECU)に少なくとも1つのサービスを提供するように構成されており、
前記少なくとも1つのSOAサーバは、前記少なくとも1つのサービスを提供するために、少なくとも1つの第1のサービス専用処理リソースと少なくとも1つのサービス専用メモリリソースとを割り当てるように構成されており、
前記少なくとも1つのサービスは、以下の(i)~(vii)のうちの、少なくとも1つを実行するように構成された、少なくとも1つのセキュリティサービスを含む、
(i)前記少なくとも1つのパーティションへの少なくとも1つの第1の通信の確認、
(ii)前記少なくとも1つのパーティションからの少なくとも1つの第2の通信の確認、
(iii)前記少なくとも1つのパーティション内部での少なくとも1つの第3の通信を確認、
(iv)前記少なくとも1つのパーティションへの前記少なくとも1つの第1の通信の検証、
(v)前記少なくとも1つのパーティションからの前記少なくとも1つの第2の通信の検証、
(vi)前記少なくとも1つのパーティション内部の前記少なくとも1つの第3の通信の検証、
(vii)上記(i)~(vi)のうちの任意の組み合わせ、
システム。
前記SOA ECUが車両内に配置されており、
前記SOA ECUは、少なくとも1つのSOAサーバを含む少なくとも1つのパーティションを含み、
前記少なくとも1つのパーティションは、
i)セキュアな分離機能、
ii)セキュアなパーティション機能、
iii)セキュアなハイパーバイザ機能、若しくは、
iv)上記のi)~iii)のうちの任意の組み合わせ
の、少なくとも1つを提供するように構成されたカーネルに関連付けられ、
前記少なくとも1つのSOAサーバは、少なくとも1つの第1のクライアント電子制御ユニット(ECU)に少なくとも1つのサービスを提供するように構成されており、
前記少なくとも1つのSOAサーバは、前記少なくとも1つのサービスを提供するために、少なくとも1つの第1のサービス専用処理リソースと少なくとも1つのサービス専用メモリリソースとを割り当てるように構成されており、
前記少なくとも1つのサービスは、以下の(i)~(vii)のうちの、少なくとも1つを実行するように構成された、少なくとも1つのセキュリティサービスを含む、
(i)前記少なくとも1つのパーティションへの少なくとも1つの第1の通信の確認、
(ii)前記少なくとも1つのパーティションからの少なくとも1つの第2の通信の確認、
(iii)前記少なくとも1つのパーティション内部での少なくとも1つの第3の通信を確認、
(iv)前記少なくとも1つのパーティションへの前記少なくとも1つの第1の通信の検証、
(v)前記少なくとも1つのパーティションからの前記少なくとも1つの第2の通信の検証、
(vi)前記少なくとも1つのパーティション内部の前記少なくとも1つの第3の通信の検証、
(vii)上記(i)~(vi)のうちの任意の組み合わせ、
システム。
【請求項2】
前記少なくとも1つのセキュリティサービスは、予め定義されたセキュリティポリシを実装するように構成されている、請求項1に記載のシステム。
【請求項3】
前記少なくとも1つのセキュリティサービスは、以下のi)~iv)のうちの、少なくとも1つを含む、
i)侵入検知システム(IDS)サービス、
ii)侵入防止システム(IPS)サービス、
iii)証明書検証サービス(CAサービス)、
iv)暗号化サービス、
v)セキュア通信ロックダウンサービス、
iv)上記i)i)~v)のうちの任意の組み合わせ、
請求項1に記載のシステム。
i)侵入検知システム(IDS)サービス、
ii)侵入防止システム(IPS)サービス、
iii)証明書検証サービス(CAサービス)、
iv)暗号化サービス、
v)セキュア通信ロックダウンサービス、
iv)上記i)i)~v)のうちの任意の組み合わせ、
請求項1に記載のシステム。
【請求項4】
前記カーネルは、分離カーネルであり、
該分離カーネルは、前記少なくとも1つのセキュリティサービスを利用することによって、前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つを仲介するように構成されている、
請求項1に記載のシステム。
該分離カーネルは、前記少なくとも1つのセキュリティサービスを利用することによって、前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つを仲介するように構成されている、
請求項1に記載のシステム。
【請求項5】
前記分離カーネルが、前記少なくとも1つのセキュリティサービスを介したルーティングを経由して、前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、および前記少なくとも1つの第3の通信のうちの、1つ以上をルーティングするように構成されている、請求項4に記載のシステム。
【請求項6】
前記少なくとも1つのセキュリティサービスを介したルーティングが、前記分離カーネルによって強制されるバイパス不可能な必須ルーティングを含む、請求項5に記載のシステム。
【請求項7】
前記少なくとも1つのセキュリティサービスが、前記少なくとも1つのパーティションのセキュリティパーティションにローカルに実装されており、
前記少なくとも1つのセキュリティサービスは、前記少なくとも1つのSOAサーバによって管理される、
請求項1に記載のシステム。
前記少なくとも1つのセキュリティサービスは、前記少なくとも1つのSOAサーバによって管理される、
請求項1に記載のシステム。
【請求項8】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、および前記少なくとも1つの第3の通信のうちの、少なくとも1つが、前記少なくとも1つのSOAサーバによって提供される複数のサービスの間にある、請求項1に記載のシステム。
【請求項9】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、以下のi)~iii)の間にある、
i) 前記少なくとも1つのサービス以外のサービス、
ii) アプリケーション、
iii) サービスとアプリケーションの両方、
請求項1に記載のシステム。
i) 前記少なくとも1つのサービス以外のサービス、
ii) アプリケーション、
iii) サービスとアプリケーションの両方、
請求項1に記載のシステム。
【請求項10】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、共通のECUの2つ以上のパーティションの間にある、請求項1に記載のシステム。
【請求項11】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、前記車両の別々のECUの間にある、前記車両のECUと前記車両に対する外部エンティティとの間にある、または、その両方である、請求項1に記載のシステム。
【請求項12】
前記少なくとも1つのセキュリティサービスが、外部サービスを利用するように構成されている、請求項1に記載のシステム。
【請求項13】
前記少なくとも1つのセキュリティサービスが、共通オブジェクト要求ブローカアーキテクチャ(CORBA)を含む、請求項1に記載のシステム。
【請求項14】
前記CORBAがセキュリティポリシの少なくとも一部を実装し、
前記セキュリティポリシはセキュリティルールのセットを含む、
請求項13に記載のシステム。
前記セキュリティポリシはセキュリティルールのセットを含む、
請求項13に記載のシステム。
【請求項15】
前記少なくとも1つのセキュリティサービスが、データ配信サービス (DDS) を含む、
請求項1に記載のシステム。
請求項1に記載のシステム。
【請求項16】
前記DDSは、セキュリティポリシの一つ以上のルールを実装するように構成されている、
請求項15に記載のシステムは、
請求項15に記載のシステムは、
【請求項17】
前記SOA ECUが、エンタープライズサービスバス(ESB)をさらに含み、
前記少なくとも1つのSOAサーバはESBを介して前記少なくとも1つの通信をルーティングする、
請求項1に記載のシステム。
前記少なくとも1つのSOAサーバはESBを介して前記少なくとも1つの通信をルーティングする、
請求項1に記載のシステム。
【請求項18】
前記ESBは、セキュリティポリシの一つ以上のルールを実装するように構成されている、
請求項17に記載のシステムは。
請求項17に記載のシステムは。
【請求項19】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、前記少なくとも1つのパーティション内部にある、請求項1に記載のシステム。
【請求項20】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、以下のi)~vi)のうちの1つ以上で配信される、2つ以上のサービス若しくは2つ以上のアプリケーションの間にある、
i)同じパーティションに少なくとも2つ、
ii)同じECU内部の、1つのパーティションに少なくとも1つ、及び、別のパーティションに1つ、
iii)同じECU内部の別のカーネルで実行される少なくとも1つ、
iv)同じECU内部の別の処理リソースで実行される少なくとも1つ、
v)前記車両内の別のECUに少なくとも1つ、
vi)前記車両に関連する外部エンティティに少なくとも1つ、
請求項1に記載のシステム。
i)同じパーティションに少なくとも2つ、
ii)同じECU内部の、1つのパーティションに少なくとも1つ、及び、別のパーティションに1つ、
iii)同じECU内部の別のカーネルで実行される少なくとも1つ、
iv)同じECU内部の別の処理リソースで実行される少なくとも1つ、
v)前記車両内の別のECUに少なくとも1つ、
vi)前記車両に関連する外部エンティティに少なくとも1つ、
請求項1に記載のシステム。
【請求項21】
サービス指向アーキテクチャを有する電子制御ユニット(SOA ECU)を提供するステップを含む方法であって、
前記SOA ECUは車両内に配置されており、
前記SOA ECUは、少なくとも1つのSOAサーバを含む少なくとも1つのパーティションを含み、
前記少なくとも1つのパーティションは、
i)セキュアな分離機能、
ii)セキュアなパーティション機能、
iii)セキュアなハイパーバイザ機能、若しくは、
iv)上記のi)~iii)のうちの任意の組み合わせ;
の、少なくとも1つを提供するように設定されたカーネルに関連付けられ、
前記少なくとも1つのSOAサーバは、少なくとも1つの第1のクライアント電子制御ユニット(ECU)に少なくとも1つのサービスを提供するように構成されており、
前記少なくとも1つのSOAサーバは、前記少なくとも1つのサービスを提供するために、少なくとも1つの第1のサービス専用処理リソースと少なくとも1つのサービス専用メモリリソースとを割り当てるように構成されており、
前記少なくとも1つのサービスは、以下の(i)~(vii)のうちの、少なくとも1つを実行するように構成された、少なくとも1つのセキュリティサービスを含む、
(i)前記少なくとも1つのパーティションへの少なくとも1つの第1の通信の確認、
(ii)前記少なくとも1つのパーティションからの少なくとも1つの第2の通信の確認、
(iii)前記少なくとも1つのパーティション内部での少なくとも1つの第3の通信を確認、
(iv)前記少なくとも1つのパーティションへの前記少なくとも1つの第1の通信の検証、
(v)前記少なくとも1つのパーティションからの前記少なくとも1つの第2の通信の検証、
(vi)前記少なくとも1つのパーティション内部の前記少なくとも1つの第3の通信の検証、
(vii)上記(i)~(vi)のうちの任意の組み合わせ、
方法。
前記SOA ECUは車両内に配置されており、
前記SOA ECUは、少なくとも1つのSOAサーバを含む少なくとも1つのパーティションを含み、
前記少なくとも1つのパーティションは、
i)セキュアな分離機能、
ii)セキュアなパーティション機能、
iii)セキュアなハイパーバイザ機能、若しくは、
iv)上記のi)~iii)のうちの任意の組み合わせ;
の、少なくとも1つを提供するように設定されたカーネルに関連付けられ、
前記少なくとも1つのSOAサーバは、少なくとも1つの第1のクライアント電子制御ユニット(ECU)に少なくとも1つのサービスを提供するように構成されており、
前記少なくとも1つのSOAサーバは、前記少なくとも1つのサービスを提供するために、少なくとも1つの第1のサービス専用処理リソースと少なくとも1つのサービス専用メモリリソースとを割り当てるように構成されており、
前記少なくとも1つのサービスは、以下の(i)~(vii)のうちの、少なくとも1つを実行するように構成された、少なくとも1つのセキュリティサービスを含む、
(i)前記少なくとも1つのパーティションへの少なくとも1つの第1の通信の確認、
(ii)前記少なくとも1つのパーティションからの少なくとも1つの第2の通信の確認、
(iii)前記少なくとも1つのパーティション内部での少なくとも1つの第3の通信を確認、
(iv)前記少なくとも1つのパーティションへの前記少なくとも1つの第1の通信の検証、
(v)前記少なくとも1つのパーティションからの前記少なくとも1つの第2の通信の検証、
(vi)前記少なくとも1つのパーティション内部の前記少なくとも1つの第3の通信の検証、
(vii)上記(i)~(vi)のうちの任意の組み合わせ、
方法。
【請求項22】
前記少なくとも1つのセキュリティサービスは、予め定義されたセキュリティポリシを実装するように構成されている、請求項21に記載の方法。
【請求項23】
前記少なくとも1つのセキュリティサービスは、以下のi)~iv)のうちの、少なくとも1つを含む、
i)侵入検知システム(IDS)サービス、
ii)侵入防止システム(IPS)サービス、
iii)証明書検証サービス(CAサービス)、
iv)暗号化サービス、
v)セキュア通信ロックダウンサービス、
iv)上記i)i)~v)のうちの任意の組み合わせ、
請求項21に記載の方法。
i)侵入検知システム(IDS)サービス、
ii)侵入防止システム(IPS)サービス、
iii)証明書検証サービス(CAサービス)、
iv)暗号化サービス、
v)セキュア通信ロックダウンサービス、
iv)上記i)i)~v)のうちの任意の組み合わせ、
請求項21に記載の方法。
【請求項24】
前記カーネルは、分離カーネルであり、
該分離カーネルは、前記少なくとも1つのセキュリティサービスを利用することによって、前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つを仲介するように構成されている、
請求項21に記載の方法。
該分離カーネルは、前記少なくとも1つのセキュリティサービスを利用することによって、前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つを仲介するように構成されている、
請求項21に記載の方法。
【請求項25】
前記分離カーネルが、前記少なくとも1つのセキュリティサービスを介したルーティングを経由して、前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、および前記少なくとも1つの第3の通信のうちの、1つ以上をルーティングするように構成されている、
請求項24に記載の方法。
請求項24に記載の方法。
【請求項26】
前記少なくとも1つのセキュリティサービスを介したルーティングが、前記分離カーネルによって強制されるバイパス不可能な必須ルーティングを含む、
請求項25に記載の方法。
請求項25に記載の方法。
【請求項27】
前記少なくとも1つのセキュリティサービスが、前記少なくとも1つのパーティションのセキュリティパーティションにローカルに実装されており、
前記少なくとも1つのセキュリティサービスは、前記少なくとも1つのSOAサーバによって管理される、
請求項21に記載の方法。
前記少なくとも1つのセキュリティサービスは、前記少なくとも1つのSOAサーバによって管理される、
請求項21に記載の方法。
【請求項28】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、および前記少なくとも1つの第3の通信のうちの、少なくとも1つが、前記少なくとも1つのSOAサーバによって提供される複数のサービスの間にある、
請求項21に記載の方法。
請求項21に記載の方法。
【請求項29】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、以下のi)~iii)の間にある、
i) 前記少なくとも1つのサービス以外のサービス、
ii) アプリケーション、
iii) サービスとアプリケーションの両方、
請求項21に記載の方法。
i) 前記少なくとも1つのサービス以外のサービス、
ii) アプリケーション、
iii) サービスとアプリケーションの両方、
請求項21に記載の方法。
【請求項30】
前記少なくとも1つの第1の通信、前記少なくとも1つの第2の通信、または前記少なくとも1つの第3の通信のうちの、少なくとも1つが、以下のi)~vi)のうちの1つ以上で配信される、2つ以上のサービス若しくは2つ以上のアプリケーションの間にある、
i)同じパーティションに少なくとも2つ、
ii)同じECU内部の、1つのパーティションに少なくとも1つ、及び、別のパーティションに1つ、
iii)同じECU内部の別のカーネルで実行される少なくとも1つ、
iv)同じECU内部の別の処理リソースで実行される少なくとも1つ、
v)前記車両内の別のECUに少なくとも1つ、
vi)前記車両に関連する外部エンティティに少なくとも1つ、
請求項21に記載の方法。
i)同じパーティションに少なくとも2つ、
ii)同じECU内部の、1つのパーティションに少なくとも1つ、及び、別のパーティションに1つ、
iii)同じECU内部の別のカーネルで実行される少なくとも1つ、
iv)同じECU内部の別の処理リソースで実行される少なくとも1つ、
v)前記車両内の別のECUに少なくとも1つ、
vi)前記車両に関連する外部エンティティに少なくとも1つ、
請求項21に記載の方法。
【外国語明細書】